REvil团伙在Kaseya供应链攻击中索要7000万美元 至少影响1,000家公司 – 作者:中科天齐软件安全中心

软件制造商 Kaseya Limited敦促其 VSA 端点管理和网络监控工具的用户立即关闭 VSA服务器，以防止在广泛的勒索软件攻击中受到损害。REvil勒索软件运营商最初破坏了Kaseya VSA的基础设施，然后推出了VSA内部部署服务器的恶意更新，以在企业网络上部署勒索软件。据安全公司 Huntress Labs 称，至少有1000家企业受到影响，使这次事件成为历史上最大的勒索软件攻击之一。

根据Kaseya的说法，攻击于美国东部时间上周五下午2点左右开始。该公司表示，虽然该事件似乎只影响本地客户，但作为预防措施，SaaS服务器也已关闭。

截至周六早些时候，国土安全部的网络安全和基础设施安全局 (CISA) 尚未发布正式警报，但该机构周五晚间表示，它正在“采取行动了解和解决最近针对Kaseya的供应链勒索软件攻击”。

攻击的时间当然不是巧合，因为由于美国7月4日的假期周末，IT和安全团队可能会人手不足，而且响应速度较慢。

Kaseya说它正在为本地客户开发补丁，并且需要在重新启动VSA之前安装该补丁。该公司表示：将尽快发布该补丁，以使客户恢复正常运行。

至少30个MSP遭入侵 数千家企业受影响

据安全公司Huntress称，跟踪美国、澳大利亚、欧盟和拉丁美洲的约30个MSP，其中 Kaseya VSA 被用于加密超过1,000家企业。所有这些VSA服务器都在本地，作为此次供应链攻击的一部分，至少有30个MSP遭到入侵，但专家认为，此次攻击可能影响了全球数千家公司。该攻击破坏了瑞典20%的食品零售业、药店和火车票销售。

REvil攻击通过自动更新传播

关于这次攻击的新细节正在出现，荷兰漏洞披露研究所 (DIVD) 向该公司报告了一个零日漏洞，跟踪为CVE-2021-30116并影响Kaseya VSA服务器。此次攻击似乎涉及利用漏洞和发送恶意 Kaseya VSA 软件更新。该更新提供了一种勒索软件，可以加密受感染系统上的文件。

根据安全研究员的说法，VSA以管理员权限运行，这使得攻击者也可以将勒索软件发送给受影响的MSP的客户。

在受感染的系统上，恶意软件试图禁用各种 Microsoft Defender for Endpoint 保护，包括实时监控、IPS、脚本扫描、网络保护、云样本提交、云查找和受控文件夹访问。

更糟糕的是，在部署勒索软件之前，VSA 管理员帐户显然已被禁用。

根据 Huntress的说法，这次攻击似乎是由REvil/Sodinokibi勒索软件即服务附属机构实施的。Sophos和其他人也证实REvil参与其中。

“REvil 二进制C:\Windows\mpsvc.dll被旁加载到合法的 Microsoft Defender 副本中，复制到C:\Windows\MsMpEng.exe以从合法进程运行加密，”Sophos安全人员 解释说。

勒索软件团伙索要7000万美元赎金

该组织现在要求支付 7000 万美元的赎金，以发布一种通用解密器，该解密器可以解锁所有被文件加密勒索软件瘫痪的系统。REvil 攻击通常还涉及从受感染系统窃取数据，以迫使受害者支付赎金。然而，考虑到攻击者在 Kaseya 漏洞曝光之前可能没有太多时间在受害者系统上，目前尚不清楚这些攻击中是否有任何文件被盗。

MSP是勒索软件团伙的高价值目标，因为它们提供了一种通过单一系统漏洞感染许多公司的简单渠道，但攻击需要对MSP及其使用的软件有深入了解。REvil拥有一个精通MSP使用技术的分支机构，他们长期以来一直针对这些公司及其常用软件。

2019年6月，REvil附属公司通过远程桌面将 MSP作为目标，然后使用他们的管理软件将勒索软件安装程序推送到他们管理的所有端点。有消息称，该附属公司之前曾与 GandCrab合作，后者在2019年1月成功地对MSP进行攻击。

事件响应影响

在软件供应链攻击中，直接受影响的除了安全软件本身，还有软件的使用者。这类勒索事件在解决上存在高度集中的风险，犯罪分子收集大量具有提升权限的企业帐户，并灵活掌握了防火墙规则，同时以合法的方式进行操作。

当系统发生网络安全问题，受害者会利用软件安全工具进行防御，但安全软件本身出现系统漏洞或问题是，受害者将无计可施。尤其在软件供应链攻击中很难判断对客户造成的破坏有多大，加之很多企业并没有网络安全应急计划，更让犯罪分子顺利得手。

网络犯罪分子通常还会盗取数据实施勒索，数据安全问题已成为当今网络安全问题的重中之重。随着国家和企业开始加大力度对数据安全进行保障，越来越多的企业开始在原始防御的基础上采取数据安全检测、系统安全检测等手段，通过加强网络系统安全进一步避免遭到勒索软件攻击。

参读链接：

https://www.woocoom.com/b021.html?id=a4c65fdff00f49b6bbb402a83e9c82f3

securityweek.com/it-software-firm-kaseya-hit-supply-chain-ransomware-attack

https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-1-000-plus-companies-in-msp-supply-chain-attack/

来源：freebuf.com 2021-07-05 15:21:22 by: 中科天齐软件安全中心