REvil勒索软件帮派以MSP为目标,利用Kaseya远程管理软件供应链攻击漏洞部署REvil勒索软件。目前,Kaseya已经关闭了其基于云的服务,并敦促所有运行本地部署的用户——包括许多托管服务提供商(MSP)——立即关闭易受攻击的服务器,直到发布补丁。事实上,这并不是网络犯罪分子和勒索软件团伙第一次使用MSP作为企业网络的“网关”。然而,对于许多组织而言,防御这种攻击媒介并不容易,因为外包IT管理意味着为MSP提供对其网络和系统的高度特权访问。KaseyaVSA攻击的影响7月2日(上周五),美国出现针对KaseyaVSA服务器的攻击。攻击者可能故意选择在重大假期(7.3-7.5为美国独立日假期)或周末前发起攻击,希望安全团队的反应慢一些,因为在美国,员工工作时间较短节前很常见。Kaseya在一份报告中说,“我们的客户中只有很小一部分受到影响——目前估计全球不到40个。我们相信我们已经掌握了漏洞的来源,并且正在为我们的本地客户准备补丁。”减轻。我们将在全面测试后尽快发布补丁,让我们的客户恢复正常运行。”该公司已经关闭了VSA的SaaS版本,但指出其云托管服务的客户没有风险。KaseyaVSA是一种IT远程监控和管理(RMM)解决方案,IT和网络管理员可以使用它来自动修补端点和服务器、管理备份和防病毒部署、自动化其他IT流程以及远程排除故障和解决IT问题。并能够执行所有这些任务,KaseyaVSA软件必须以管理员级别访问权限运行。根据Kaseya的说法,其RMM解决方案拥有超过36000名用户,因此受影响的不到40名客户听起来确实是一个小数字。但是,根据第三方报告,受影响的客户中有许多是MSP,它们使用KaseyaVSA来管理数百家企业的系统和网络。“我们正在跟踪美国、澳大利亚、欧盟和拉丁美洲的大约30个MSP,其中许多与KaseyaVSA有合作关系,”托管威胁检测和响应供应商Huntress的高级安全研究员约翰哈蒙德在一份报告中说。博客文章。攻击者已经使用KaseyaVSA加密了1,000多家企业。所有这些VSA服务器都部署在本地,Huntress已经确认网络犯罪分子已经利用了SQLi漏洞,并且非常有信心他们正在使用身份验证绕过漏洞来获取对这些服务器的访问权限。据荷兰漏洞披露研究所(DIVD)称,Kaseya正在修复这些漏洞,该研究所的研究人员在周末发现了攻击中使用的一些零日漏洞,并将这些信息报告给Kaseya以进行早期开发。出补丁。“在整个过程中,Kaseya已经表明他们愿意在这次事件中付出最大的努力和主动来解决问题并帮助客户完成错误修复,并且他们做出了明确而真诚的承诺。需要注意的是,攻击者可以继续利用这些漏洞,直到客户完成修复。”根据Gevers的说法,DIVD一直在与国家CERTS和其他合作伙伴合作,以识别和联系公开暴露的KaseyaVSA服务器的用户,并指出公开暴露的实例数量已经从最初的2200个下降到不到140个。直到一个补丁准备就绪后,Kaseya建议客户不要启动其本地VSA服务器。不过,该公司发布了一种入侵检测工具,可用于扫描Kaseya管理的VSA服务器或端点,以寻找此次攻击中的入侵迹象。REvil及其部署方式REvil,也称为Sodinokibi,是一种勒索软件威胁,于2019年4月出现,并在另一个名为GandCrab的RaaS团伙关闭其服务后名声大噪。REvil作为勒索软件即服务(RaaS)平台运作,招募合作伙伴进行攻击和勒索加密,最终各方共享。在过去一年中,REvil已成为感染企业网络的最常见勒索软件之一。由于恶意软件由不同的“分支机构”分发,因此攻击者在网络中的初始访问向量和采取的操作各不相同。据安全研究员KevinBeaumont介绍,一旦攻击者利用零日漏洞获得KaseyaVSA实例的访问权限,他们会立即停止管理员对该软件的访问,以防止攻击被阻止。然后,他们设置了一个名为“KaseyaVSAAgentHot-fix”的任务,将虚假的Kaseya代理更新推送到通过该软件管理的系统。这个假更新实际上是REvil勒索软件。需要明确的是,这意味着非Kaseya客户的组织可能仍会被加密。鉴于Kaseya文档建议客户从防病毒扫描中排除安装VSA远程管理代理及其组件的文件夹,此恶意更新的部署可能会更进一步。安装后,REvil勒索软件会执行PowerShell命令以禁用MicrosoftDefenderforEndpoint的几个重要功能:实时监控、IPS、云查找、脚本扫描、受控文件夹访问(勒索软件预防)、网络保护和云样本提交。该恶意软件还试图篡改其他供应商(包括Sophos)的防病毒产品,并禁用各种备份系统。该勒索软件网站托管在Tor网络上,勒索货币为Monero。HitmanPro恶意软件分析师MarkLoman分享的屏幕截图显示了50,000美元的赎金。但有报道称,与此次袭击相关的赎金要求为500万美元。通常,勒索软件团伙会根据他们对受害者年收入的了解来调整赎金金额。MSP和远程管理工具不是新目标针对MSP及其使用的管理软件(例如Kaseya)的攻击并不新鲜。2018年1月,安全公司eSentire报告称,攻击者利用KaseyaVSA中的一个漏洞攻击其众多客户,目的是在他们的系统上部署加密货币挖掘恶意软件。Kaseya随后发布了一个补丁来解决该漏洞。2019年8月,REvil勒索软件团伙设法攻陷了德克萨斯州一家名为TSMConsultingServices的MSP,并向其客户部署了勒索软件,影响了德克萨斯州的22个城市。同年早些时候,勒索软件组织利用ConnectWiseManagedITSync集成中的一个旧漏洞,该实用程序旨在同步ConnectWiseManagePSA和KaseyaVSARMM之间的数据,以危害MSP。根据安全公司ArmorDefense的一份报告,2019年有13家MSP和云服务提供商遭到攻击,导致许多市政当局、学区和私营企业的系统被勒索软件感染。
