美国软件商Kaseya 遭REvil 勒索软件供应链攻击
美国东部时间周五下午 2 点左右Kaseya 被攻击, 2021 年 7 月 3 日晚上 7:30 和晚上 9:00 更新、 7 月 4 日上午 10:00 Kaseya连发三次警告……
2021 年 7 月 4 日美国东部时间上午 10:00 Kaseya再次发出警告,Kaseya 被攻击。他们认为响应及时,仅极少数本地客户被攻击。 Kaseya 的 VSA 产品成为复杂网络攻击的受害者 ,该公司继续强烈建议本地客户的 VSA 服务器保持离线状态,直至另行通知。我们还将保持 SaaS 服务器离线,直至另行通知。客户不要点击任何链接,以防被攻击。
根据 Kaseya 的说法,于美国东部时间周五下午 2 点左右开始攻击,虽然暂时发现只影响本地客户,但作为预防措施,该公司SaaS 服务器也已关闭。
截至周六早些时候,美国国土安全部的网络安全和基础设施安全局 (CISA) 尚未发布正式警报,周五晚间表示,正在采取行动了解和解决最近针对 Kaseya 的供应链勒索软件攻击。VSA 和使用 VSA 软件的多个托管服务提供商 (MSP)。
因为由于美国 7 月 4 日的假期周末,由于IT 和安全团队人手不足致使响应速度较慢。
虽然现在证据表明只有极少数本地客户受到影响,但他们为了保守起见,还是关闭 SaaS 服务器,以确保尽最大努力保护其 36,000 多名客户,
Kaseya 表示正在为开发安全补丁,并且需要在重新启动 VSA 之前安装该补丁。据安全公司 Huntress 称,至少有 8 家托管服务提供商 (MSP) 遭到入侵,其 200 多家客户已受影响。
Kaseya 方面目前估计只有不到 40 名客户受到影响。
此次攻击似乎涉及利用漏洞和发送恶意 Kaseya VSA 软件更新,该更新被打包了一种勒索软件,可以加密受感染系统上的文件。
根据安全研究员 Kevin Beaumont 的说法,VSA 以管理员权限运行,这使得攻击者也可以将勒索软件发送给受影响的 MSP 的客户。
Beaumont 说在受感染的系统上,恶意软件试图禁用各种 Microsoft Defender for Endpoint 保护,包括实时监控、IPS、脚本扫描、网络保护、云样本提交、云查找和受控文件夹访问。在部署勒索软件之前,VSA 管理员帐户显然已被禁用。
根据 Huntress 的说法,本次攻击似乎是由REvil/Sodinokibi勒索软件即服务运营者发起,Sophos 和其他人也证实 REvil 参与其中。
Sophos 的 Mark Loman 解释说:“REvil 二进制C:\Windows\mpsvc.dll被旁加载到合法的 Microsoft Defender 副本中,复制到C:\Windows\MsMpEng.exe以从合法进程运行加密”
本次攻击者要求支付 50,000 美元,而在其他攻击报道中,发现他们要求受害者支付 500 万美元的赎金。REvil 攻击通常采取双重攻击,从受感染系统窃取数据,以迫使受害者支付赎金,目前尚不清楚攻击中是否有任何文件被盗。最近REvil 勒索软件还被用于 攻击JBS ,并获取了 1100 万美元赎金。
Huntress、Sophos和Kevin Beaumont已分享了此次攻击的IOC 。Emsisoft 的 Fabian Wosar 分享了一份勒索软件加密器配置的副本。
前次,我在整理《勒索软件需知二三点》中,提到周末和节假日要格外警惕。过去一年中的大多数勒索软件攻击都发生在周末或假期,此时组织更有可能对威胁做出较慢的响应。这次,Kaseya被攻击,正好证实了周末是组织防护和应急处置最薄弱的时间节点,其实这个也很好理解,一方面如果工作日未出现安全问题,那么系统存在问题基本上会滞留的周末,而这两天基本上安全人员一般不会实时监测组织的网络安全,这也为黑客攻击提供了两天绝佳的窗口,一旦攻击成功,那么组织人员参与应急也会极大的滞后。另外,还是建议单位能够多重用一些有心人,工作扎实开展每个单位都需要几个有心人,否则安全这事就会不堪设想。
你的周末,黑客不过,他们正在为你而加班!他们最擅长寻找你的薄弱点和薄弱时间段,非常会见缝插针。
参考来源,更多内容可以访问:
https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689-Important-Notice-July-2nd-2021