勒索组织REvil发起供应链攻击,索要7000万美元赎金 – 作者:yannichen

最新

勒索组织REvil 向 Kaseya 供应链攻击中的受影响企业开出了7000万美元的高价赎金,这是迄今为止开价最高的赎金。

REvil将解密工具定价7000万美元,受影响企业可以使用该工具恢复被加密的文件。

在REvil的泄密网站,他们宣称锁定了超过一百万个系统,并愿意就通用解密器进行谈判,起价为 7000 万美元。

图片[1]-勒索组织REvil发起供应链攻击,索要7000万美元赎金 – 作者:yannichen-安全小百科

此前,REvil勒索软件向MSPs索要500万美元的解密工具,并向其客户索要44999美元的赎金。

这是迄今为止最高的赎金要求,之前的记录也属于 REvil,该公司在攻击台湾电子和电脑制造商宏碁公司后要求赎金5000万美元。

前情提要

美国东部时间7月2日,勒索组织REvil利用IT软件供应商Kaseya发起供应链攻击,预计有数千家公司中招

REvil勒索软件组织利用零日漏洞攻击了Kaseya基于云的MSP平台(管理服务提供商),破坏其VSA基础设施,然后向VSA内部服务器推送恶意更新,在企业网络上部署勒索软件,导致Kaseya的客户遭供应链攻击。

预计1000家企业受影响

7月3日,美国总统拜登下令情报机构全面调查此次攻击事件。据安全公司Huntress Labs称,至少有1000家企业或机构受到影响,这使得这次事件成为历史上最大的勒索软件攻击之一。

Kaseya 发表声明称,其事件响应团队发现VSA软件可能被入侵。VSA软件运行在企业服务器、计算机和网络设备上,属于外包技术。Kaseya督促使用VSA软件的客户立即关闭服务器。

图片[2]-勒索组织REvil发起供应链攻击,索要7000万美元赎金 – 作者:yannichen-安全小百科Kaseya首席执行官Fred Voccola在一封电子邮件中向媒体表示,只有不到40家使用VSA软件的客户受到该事件影响。但是,这40家客户大多是管理服务提供商,利用VSA软件承接了很多其他公司的外包服务。

Fred Voccola称公司已经确定了漏洞的来源,并准备发布补丁。在此期间,公司会关闭所有内部VSA服务器、SaaS和托管VSA服务器,直到恢复安全运营。

荷兰漏洞披露研究所(DIVD)披露了这次供应链攻击的细节,研究所向该公司报告了一个被追踪为CVE-2021-30116的零日漏洞。REvil正是利用该漏洞攻击Kaseya的VSA服务器。

据Sophos恶意软件分析师Mark Loman表示,REvil利用Kaseya VSA在受害者的环境中部署勒索软件的变体,通过伪造的Windows Defender应用程序侧加载恶意二进制代码,加密文件,并向受害者开出500万美元的赎金。

安全公司Huntress Labs在Reddit上发布了一篇帖子,详细介绍此次入侵的工作原理,该木马软件以Kaseya VSA Agent Hot-fix的形式发布。

图片[3]-勒索组织REvil发起供应链攻击,索要7000万美元赎金 – 作者:yannichen-安全小百科Huntress Labs表示,他们正在追踪来自美国、澳大利亚、欧盟、和拉丁美洲的近30家管理服务提供商。

随着勒索软件危机的持续升级,管理服务提供商已经成为一个有利可图的目标,主要是因为一次成功的入侵可以访问供应链上多家企业,将整条供应链的企业置于易受攻击的风险中。

瑞典连锁超市中招

勒索组织对美国公司Kaseya的攻击给瑞典的食品零售业、药店和火车票销售企业带来了20%的损失。有意思的是,这些企业甚至不是Kaseya的直接客户。

在Kaseya受攻击后,瑞典最大的连锁超市品牌Coop确认其一个承包商被勒索软件攻击,全国近800家门店的收银机和自助服务出现故障无法处理付款,导致门店被迫关闭。

图片[4]-勒索组织REvil发起供应链攻击,索要7000万美元赎金 – 作者:yannichen-安全小百科Coop的软件供应商之一 Visma Esscom确认,他们受到了Kaseya事件的影响。7月3日,Coop决定将旗下500多家受严重影响的门店暂时关闭运营一天。

来源:freebuf.com 2021-07-05 16:43:52 by: yannichen

相关推荐: 无线安全之MiTM攻击(一) – 作者:Kr1pt0

一、MiTM攻击简介MiTM (Main-in-the-middle attack)中间人攻击,指攻击者与通讯的双方分别建立独立连接,并交换其所收到的数据,使通讯的双方认为他们正在通过一个私密的连接与对方直接交互数据,但事实上整个会话都被攻击者完全控制。在中间…

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论