勒索组织REvil发起供应链攻击,预计将有数千家企业受到波及。REvil勒索软件组织利用零日漏洞攻击Kaseya基于云的MSP平台(托管服务提供商),破坏其VSA基础设施,然后将恶意更新推送到VSA的内部服务器,在公司网络上部署勒索软件,导致Kaseya的客户受到供应链的攻击。预计将有1000家公司受到影响。7月3日,美国总统拜登下令情报机构全面调查此次袭击事件。据安全公司HuntressLabs称,至少有1000家企业或机构受到影响,使该事件成为历史上最大的勒索软件攻击之一。Kaseya发表声明称,其事件响应团队发现VSA软件可能已遭到破坏。VSA软件运行在企业服务器、计算机和网络设备上,是一项外包技术。Kaseya敦促使用VSA软件的客户立即关闭他们的服务器。Kaseya首席执行官FredVoccola在一封电子邮件中告诉媒体,只有不到40名使用VSA软件的客户受到此次事件的影响。然而,这40家客户中的大部分都是托管服务提供商,他们使用VSA软件承接了许多其他公司的外包服务。FredVoccola表示,该公司已经确定了漏洞的来源,并准备发布补丁。在此期间,公司将关闭所有内部VSA服务器、SaaS和托管VSA服务器,直到安全操作恢复。荷兰漏洞披露研究所(DIVD)披露了供应链攻击的详细信息,该研究所向该公司报告了一个被追踪为CVE-2021-30116的零日漏洞。REvil利用该漏洞攻击Kaseya的VSA服务器。根据Sophos恶意软件分析师MarkLoman的说法,REvil使用KaseyaVSA在受害者的环境中部署勒索软件的变体,通过伪造的WindowsDefender应用程序旁加载恶意二进制代码,加密文件,并向受害者收取5亿美元的赎金。安全公司HuntressLabs在Reddit上发布了一篇帖子,详细介绍了入侵的工作原理,该帖子作为KaseyaVSAAgentHot-fix发布。HuntressLabs表示正在跟踪来自美国、澳大利亚、欧盟和拉丁美洲的近30家托管服务提供商。随着勒索软件危机的持续升级,托管服务提供商已成为一个有利可图的目标,这主要是因为一次成功的入侵可以访问供应链上的多家公司,从而使供应链上的公司容易受到攻击。在风险中。勒索团伙招募的瑞典连锁超市对美国公司Kaseya发起攻击,给瑞典食品零售商、药店和火车票销售商带来了20%的损失。有趣的是,这些公司甚至都不是Kaseya的直接客户。在Kaseya遭到攻击后,瑞典最大的连锁超市Coop证实其一名承包商遭到勒索软件攻击。全国近800家收银机和自助门店支付失败,门店被迫关门。Coop的软件供应商之一VismaEsscom证实他们受到了Kaseya事件的影响。7月3日,Coop决定暂时关闭旗下500多家受灾严重的门店一天。
