REvil團伙在Kaseya供應鏈攻擊中索要7000萬美圓 至少影響1,000家公司

軟件製造商 Kaseya Limited敦促其 VSA 端點管理和網絡監控工具的用戶當即關閉 VSA服務器，以防止在普遍的勒索軟件攻擊中受到損害。REvil勒索軟件運營商最初破壞了Kaseya VSA的基礎設施，而後推出了VSA內部部署服務器的惡意更新，以在企業網絡上部署勒索軟件。據安全公司 Huntress Labs 稱，至少有1000家企業受到影響，使此次事件成爲歷史上最大的勒索軟件攻擊之一。

根據Kaseya的說法，攻擊於美國東部時間上週五下午2點左右開始。該公司表示，雖然該事件彷佛隻影響本地客戶，但做爲預防措施，SaaS服務器也已關閉。

截至週六早些時候，國土安所有的網絡安全和基礎設施安全局 (CISA) 還沒有發佈正式警報，但該機構週五晚間表示，它正在「採起行動了解和解決最近針對Kaseya的供應鏈勒索軟件攻擊」。

攻擊的時間固然不是巧合，由於因爲美國7月4日的假期週末，IT和安全團隊可能會人手不足，並且響應速度較慢。

Kaseya說它正在爲本地客戶開發補丁，而且須要在從新啓動VSA以前安裝該補丁。該公司表示：將盡快發佈該補丁，以使客戶恢復正常運行。

至少30個MSP遭入侵 數千家企業受影響

據安全公司Huntress稱，跟蹤美國、澳大利亞、歐盟和拉丁美洲的約30個MSP，其中 Kaseya VSA 被用於加密超過1,000家企業。全部這些VSA服務器都在本地，做爲這次供應鏈攻擊的一部分，至少有30個MSP遭到入侵，但專家認爲，這次攻擊可能影響了全球數千家公司。該攻擊破壞了瑞典20%的食品零售業、藥店和火車票銷售。

REvil攻擊經過自動更新傳播

關於此次攻擊的新細節正在出現，荷蘭漏洞披露研究所 (DIVD) 向該公司報告了一個零日漏洞，跟蹤爲CVE-2021-30116並影響Kaseya VSA服務器。這次攻擊彷佛涉及利用漏洞和發送惡意 Kaseya VSA 軟件更新。該更新提供了一種勒索軟件，能夠加密受感染系統上的文件。

根據安全研究員的說法，VSA以管理員權限運行，這使得攻擊者也能夠將勒索軟件發送給受影響的MSP的客戶。

在受感染的系統上，惡意軟件試圖禁用各類 Microsoft Defender for Endpoint 保護，包括實時監控、IPS、腳本掃描、網絡保護、雲樣本提交、雲查找和受控文件夾訪問。

更糟糕的是，在部署勒索軟件以前，VSA 管理員賬戶顯然已被禁用。

根據 Huntress的說法，此次攻擊彷佛是由REvil/Sodinokibi勒索軟件即服務附屬機構實施的。Sophos和其餘人也證明REvil參與其中。

「REvil 二進制C:\Windows\mpsvc.dll被旁加載到合法的 Microsoft Defender 副本中，複製到C:\Windows\MsMpEng.exe以從合法進程運行加密，」Sophos安全人員 解釋說。

勒索軟件團伙索要7000萬美圓贖金

該組織如今要求支付 7000 萬美圓的贖金，以發佈一種通用解密器，該解密器能夠解鎖全部被文件加密勒索軟件癱瘓的系統。REvil 攻擊一般還涉及從受感染系統竊取數據，以迫使受害者支付贖金。然而，考慮到攻擊者在 Kaseya 漏洞曝光以前可能沒有太多時間在受害者系統上，目前尚不清楚這些攻擊中是否有任何文件被盜。

MSP是勒索軟件團伙的高價值目標，由於它們提供了一種經過單一系統漏洞感染許多公司的簡單渠道，但攻擊須要對MSP及其使用的軟件有深刻了解。REvil擁有一個精通MSP使用技術的分支機構，他們長期以來一直針對這些公司及其經常使用軟件。

2019年6月，REvil附屬公司經過遠程桌面將 MSP做爲目標，而後使用他們的管理軟件將勒索軟件安裝程序推送到他們管理的全部端點。有消息稱，該附屬公司以前曾與 GandCrab合做，後者在2019年1月成功地對MSP進行攻擊。

事件響應影響

在軟件供應鏈攻擊中，直接受影響的除了安全軟件自己，還有軟件的使用者。這類勒索事件在解決上存在高度集中的風險，犯罪分子收集大量具備提高權限的企業賬戶，並靈活掌握了防火牆規則，同時以合法的方式進行操做。

當系統發生網絡安全問題，受害者會利用軟件安全工具進行防護，但安全軟件自己出現系統漏洞或問題是，受害者將機關用盡。尤爲在軟件供應鏈攻擊中很難判斷對客戶形成的破壞有多大，加之不少企業並無網絡安全應急計劃，更讓犯罪分子順利得手。

網絡犯罪分子一般還會盜取數據實施勒索，數據安全問題已成爲當今網絡安全問題的重中之重。隨着國家和企業開始加大力度對數據安全進行保障，愈來愈多的企業開始在原始防護的基礎上採起數據安全檢測、系統安全檢測等手段，經過增強網絡系統安全進一步避免遭到勒索軟件攻擊。

參讀連接：

www.woocoom.com/b021.html?i…

securityweek.com/it-software-firm-kaseya-hit-supply-chain-ransomware-attack

www.bleepingcomputer.com/news/securi…