REvil团伙在Kaseya供应链攻击中索要7000万美圆 至少影响1,000家公司
软件制造商 Kaseya Limited敦促其 VSA 端点管理和网络监控工具的用户当即关闭 VSA服务器,以防止在普遍的勒索软件攻击中受到损害。REvil勒索软件运营商最初破坏了Kaseya VSA的基础设施,而后推出了VSA内部部署服务器的恶意更新,以在企业网络上部署勒索软件。据安全公司 Huntress Labs 称,至少有1000家企业受到影响,使此次事件成为历史上最大的勒索软件攻击之一。html
根据Kaseya的说法,攻击于美国东部时间上周五下午2点左右开始。该公司表示,虽然该事件彷佛只影响本地客户,但做为预防措施,SaaS服务器也已关闭。安全
截至周六早些时候,国土安所有的网络安全和基础设施安全局 (CISA) 还没有发布正式警报,但该机构周五晚间表示,它正在“采起行动了解和解决最近针对Kaseya的供应链勒索软件攻击”。服务器
攻击的时间固然不是巧合,由于因为美国7月4日的假期周末,IT和安全团队可能会人手不足,并且响应速度较慢。markdown
Kaseya说它正在为本地客户开发补丁,而且须要在从新启动VSA以前安装该补丁。该公司表示:将尽快发布该补丁,以使客户恢复正常运行。网络
至少30个MSP遭入侵 数千家企业受影响
据安全公司Huntress称,跟踪美国、澳大利亚、欧盟和拉丁美洲的约30个MSP,其中 Kaseya VSA 被用于加密超过1,000家企业。全部这些VSA服务器都在本地,做为这次供应链攻击的一部分,至少有30个MSP遭到入侵,但专家认为,这次攻击可能影响了全球数千家公司。该攻击破坏了瑞典20%的食品零售业、药店和火车票销售。工具
REvil攻击经过自动更新传播
关于此次攻击的新细节正在出现,荷兰漏洞披露研究所 (DIVD) 向该公司报告了一个零日漏洞,跟踪为CVE-2021-30116并影响Kaseya VSA服务器。这次攻击彷佛涉及利用漏洞和发送恶意 Kaseya VSA 软件更新。该更新提供了一种勒索软件,能够加密受感染系统上的文件。oop
根据安全研究员的说法,VSA以管理员权限运行,这使得攻击者也能够将勒索软件发送给受影响的MSP的客户。加密
在受感染的系统上,恶意软件试图禁用各类 Microsoft Defender for Endpoint 保护,包括实时监控、IPS、脚本扫描、网络保护、云样本提交、云查找和受控文件夹访问。spa
更糟糕的是,在部署勒索软件以前,VSA 管理员账户显然已被禁用。3d
根据 Huntress的说法,此次攻击彷佛是由REvil/Sodinokibi勒索软件即服务附属机构实施的。Sophos和其余人也证明REvil参与其中。
“REvil 二进制C:\Windows\mpsvc.dll被旁加载到合法的 Microsoft Defender 副本中,复制到C:\Windows\MsMpEng.exe以从合法进程运行加密,”Sophos安全人员 解释说。
勒索软件团伙索要7000万美圆赎金
该组织如今要求支付 7000 万美圆的赎金,以发布一种通用解密器,该解密器能够解锁全部被文件加密勒索软件瘫痪的系统。REvil 攻击一般还涉及从受感染系统窃取数据,以迫使受害者支付赎金。然而,考虑到攻击者在 Kaseya 漏洞曝光以前可能没有太多时间在受害者系统上,目前尚不清楚这些攻击中是否有任何文件被盗。
MSP是勒索软件团伙的高价值目标,由于它们提供了一种经过单一系统漏洞感染许多公司的简单渠道,但攻击须要对MSP及其使用的软件有深刻了解。REvil拥有一个精通MSP使用技术的分支机构,他们长期以来一直针对这些公司及其经常使用软件。
2019年6月,REvil附属公司经过远程桌面将 MSP做为目标,而后使用他们的管理软件将勒索软件安装程序推送到他们管理的全部端点。有消息称,该附属公司以前曾与 GandCrab合做,后者在2019年1月成功地对MSP进行攻击。
事件响应影响
在软件供应链攻击中,直接受影响的除了安全软件自己,还有软件的使用者。这类勒索事件在解决上存在高度集中的风险,犯罪分子收集大量具备提高权限的企业账户,并灵活掌握了防火墙规则,同时以合法的方式进行操做。
当系统发生网络安全问题,受害者会利用软件安全工具进行防护,但安全软件自己出现系统漏洞或问题是,受害者将机关用尽。尤为在软件供应链攻击中很难判断对客户形成的破坏有多大,加之不少企业并无网络安全应急计划,更让犯罪分子顺利得手。
网络犯罪分子一般还会盗取数据实施勒索,数据安全问题已成为当今网络安全问题的重中之重。随着国家和企业开始加大力度对数据安全进行保障,愈来愈多的企业开始在原始防护的基础上采起数据安全检测、系统安全检测等手段,经过增强网络系统安全进一步避免遭到勒索软件攻击。
参读连接:
securityweek.com/it-software-firm-kaseya-hit-supply-chain-ransomware-attack