史上最高赎金诞生:IT管理平台Kaseya遭REvil勒索软件攻击,黑客要求支付7000万美元9:00,再次遭到攻击。7月4日上午10点,Kaseya再次发出警告,Kaseya遭到攻击。这次攻击针对的是Kaseya的原生VSA产品。目前,Kaseya强烈建议本地客户的VSA服务器保持离线状态,直至另行通知。在此攻击中,攻击者利用此漏洞提供恶意KaseyaVSA软件更新,其中包含加密受感染系统上的文件的勒索软件。根据安全研究员KevinBeaumont的说法,VSA以管理员权限运行,这使得攻击者也可以向受影响的MSP的客户发送勒索软件。一旦在受害系统上受到感染,该恶意软件就会尝试禁用各种MicrosoftDefenderforEndpoint保护,包括实时监控、IPS、脚本扫描、网络保护、云样本提交、云查找和受控文件夹访问。在部署勒索软件之前,VSA管理员帐户显然已被禁用。根据Huntress的说法,这次攻击似乎是由REvil/Sodinokibi勒索软件即服务运营商实施的。Kaseya是一家为托管服务提供商(MSP)和IT公司提供IT管理软件的公司,该公司将周末发生的REvil(又名Sodinokibi)勒索软件攻击描述为对其本地VSA产品的“复杂网络攻击”。除了建议所有客户关闭其本地VSA服务器直至另行通知外,Kaseya还决定在调查进行期间立即关闭其软件即服务(SaaS)服务器,作为一项保守的安全措施。截至发稿,REvil勒索软件攻击者Kaseya尚未发布有关此次攻击的技术信息,但网络安全和基础设施安全局(CISA)透露,攻击者使用Kaseya的VSA软件推送恶意脚本。攻击者利用VSA软件推送恶意PowerShell脚本,然后将REvil勒索软件负载加载到客户系统上。同样重要的是,非kaseya客户也可能通过其服务提供商受到影响。Sodinokibi/REvilransomwareaffectingKaseyaVSA(detectedasRansom.Win32.SODINOKIBI.YABGC)disablescertainservicesandterminatesprocessesrelatedtolegitimatesoftwaresuchasbrowsersandproductivityapplications.具体来说,它终止以下进程:agntsvcdbeng50dbsnmpencsvcexcelfirefoxinfopathisqlplussvcmsaccessmspubmydesktopqosmydesktopserviceocautoupdsocommocssdonenoteoracleoutlookpowerpntsqbcoreservicesqlsteamsynctimetbirdconfigthebatthunderbirdvisiowinwordwordpadxfssvccon如果Sodinokibi检测到操作系统语言为以下任何一languages,willterminatethemselves:Arabic-Syria;EasternArmenia;AzerbaijaniCyrillic;AzerbaijaniLatin;Belarusian;Georgian;Kazakh;KyrgyzCyrillic;Romanian-Moldovan;Russian;Russian-—Moldovan;Syriac;Tajik;Tatar;Turkmenistan;Ukrainian;UzbekCyrillic;UzbekLatin;wallpapersofaffectedsystemschangedtothisimageSodinokibiransomnoteREvilransomwarebelievedtobeaniterationofGandCrab,Knownfortargetinghigh-profilevictimsandemployingdouble-extortiontacticstoforcevictimstopaytheransom.REvilattackerswerealsobehindtherecentmassiveransomwareattackonmeatsupplierJBS.SecurityAdvisoryWhiletheinvestigationisstillongoing,itisimportantforaffecteduserstofollowKaseya'sguidancetoprotecttheirsystemsfromfurtherdamage.截至2021年7月3日晚上9点(美国东部时间),该公司建议关闭所有本地VSA服务器,只有在部署补丁后才重新启动。因为勒索软件可以有多个入口点和加密功能,企业需要一个好的备份策略和多层安全方法来保护他们的网络和保护他们的关键业务数据:访问以防止勒索软件进入你的网络;服务器保护保护服务器免受可利用的漏洞;网络保护通过防止勒索软件从服务器传播到端点或从端点传播到端点来保护您的网络;EndpointProtection通过阻止勒索软件运行来保护您的网络;{Path}\agent.exe投放的IOC(1)勒索软件加密器,检测为Trojan.Win32.SODINSTALL.YABGC,使用合法的可执行文件加载恶意DLL(Ransom.Win32.SODINOKIBI.YABGC);(2)VSA程序命名为“KaseyaVSAAgentHot-fix”;(3)至少有两个特定的任务,加密和进程终止,与上述加密器一起运行似乎是特定的PowerShell脚本。袭击迫使瑞典连锁超市Coop关闭800家门店据瑞典最大的杂货连锁店之一Coop称,在Kaseya安全事件发生后,用于远程更新其收银台的工具受到攻击影响,导致无法支付,导致全国近800家商店被迫关闭。Coop发言人ThereseKnapp告诉瑞典电视台:我们整晚都在进行故障排除和恢复,但表示今天需要关闭商店。瑞典通讯社TT称,Kaseya技术被瑞典公司VismaEsscom使用,该公司为多家瑞典企业管理服务器和设备。根据最新消息,在Kaseya开始向其客户发布经过验证的修复程序之前,REvil附属公司获得了该漏洞的详细信息并设法利用了该漏洞。REvil勒索软件组织声称已经加密了超过一百万个系统,并要求支付7000万美元的赎金。然而,今天,攻击者将价格降至5000万美元。这是历史上最高的赎金要求,尽管之前的最高赎金记录也属于REvil,它在攻击台湾电子和计算机制造商宏碁后索要5000万美元的赎金。这不是REvil勒索软件第一次被用来攻击MSP,2019年6月,REvil的一家附属公司使用其管理软件通过远程桌面攻击MSP,将勒索软件安装程序传播到他们管理的所有客户端端点。据信,同一分支机构曾在2019年1月与GandCrab合作攻击MSP的网络,当时REvil组织要求7000万美元解密锁定在Kaseya攻击中的系统。Kaseya发言人尚未就公司是否会考虑支付REvil组织要求的赎金发表评论。截至撰写本文时,Kaseya勒索软件事件已影响到全球数千家公司。VSA设备是基于Web的平台,通常由大型公司或托管服务提供商(MSP)用来管理远程计算机群,REvil组织通过受感染的VSA服务器转向所有连接的工作站和公司网络。REvil勒索软件的技术分析REvil勒索软件已经在黑市上宣传了三年,是最多产的RaaS操作之一。根据卡巴斯基实验室对REvil运营商的跟踪分析,该组织在2020年的运营收入超过1亿美元。在另一个现已解散的勒索软件组织GandCrab关闭后,该组织的活动于2019年4月首次被发现。在kaseya攻击案例中,攻击者通过PowerShell脚本部署了一个恶意植入程序,该脚本又通过供应商的代理执行:该脚本禁用MicrosoftDefender的端点保护功能,然后使用certutil.exe实用程序对其进行解码可执行文件(agent.exe)下载合法的Microsoft二进制文件(MsMpEng.exe,MicrosoftDefender的旧版本)和恶意库(mpsvc.dll),这是REvil勒索软件攻击过程的全部。然后,合法的MsMpEng.exe使用DLL旁加载技术(T1574.002)加载该库。“agent.exe”植入程序的执行流程在撰写本文时,研究人员已经在22个国家/地区观察到超过5,000次攻击尝试。攻击企图的地理分布REvil使用Salsa20对称流算法加密文件内容,使用椭圆曲线非对称算法加密密钥。由于恶意软件中使用的安全加密方案和实现,没有网络罪犯的密钥就不可能解密受此恶意软件影响的文件。卡巴斯基产品可抵御此威胁并以下列名称检测它:UDS:DangerousObject.Multi.GenericTrojan-Ransom.Win32.Gen.genTrojan-Ransom.Win32.Sodin.genTrojan-Ransom.Win32.Convagent.genPDM:Trojan.Win32.Generic0x561CFFBABA71A6E8CC1CDCEDA990EAD4卡巴斯基TIP查询页面的二进制部分为保护您的公司免受勒索软件2.0的攻击,卡巴斯基专家建议:除非绝对必要,否则不要公开远程桌面服务(如RDP)给公共网络,并始终使用强密码他们;及时对商业VPN解决方案应用补丁,为远程工作人员提供访问权限并充当您网络中的网关;在您使用的所有设备上保持软件更新,以防止勒索软件利用漏洞;4.将你的防御策略集中在检测互联网上的横向移动和数据泄露上,特别注意传出流量以检测来自网络犯罪分子的连接。定期备份数据可确保在紧急情况下需要时可以快速访问数据。使用最新的威胁情报信息了解攻击者实际使用的TTP。CISA和FBI还分享了针对Kaseya勒索软件攻击受害者的指南CISA和FBI分享了一些针对托管服务提供商(MSP)及其受REvil供应链勒索软件攻击影响的客户的安全指南,该攻击袭击了基于KaseyaCloud的MSP平台系统。这两个联邦机构建议受REvil攻击影响的MSP使用Kaseya在周末提供的检测工具进一步检查他们的系统是否有入侵迹象,并在尽可能多的帐户上启用多因素身份验证(MFA)。此外,MSP应实施权限列表以限制对其内部资产的访问,并使用防火墙或VPN来保护其远程监控工具的管理界面。CISA和FBI针对受影响的MSP建议的完整列表包括:下载KaseyaVSA检测工具,该工具分析系统(VSA服务器或托管端点)以确定是否存在任何妥协指标(IoC);对帐户启用和强制执行多因素身份验证(MFA),并在可能的情况下对面向客户的服务启用和强制执行多因素身份验证(MFA);实施白名单以将与远程监控和管理(RMM)功能的通信限制为已知IP地址;RMM的管理接口位于专用管理网络上的虚拟专用网络(VPN)或防火墙后面;建议受攻击影响的MSP客户尽可能使用和执行MFA,并通过将备份放在气隙系统上来保护他们的备份。CISA和FBI建议受影响的MSP客户:确保备份是最新的,并存储在与组织网络隔离的易于检索的位置;按照供应商补救指南恢复手动补丁管理流程,包括在新补丁可用时立即安装;关键网络资源的管理员账户执行MFA和最小权限原则;美国联邦调查局周末在一份官方声明中表示:“由于这起事件的潜在规模,联邦调查局和中央情报局可能无法对每个受害者单独做出回应,但我们收到的所有信息都将有助于应对这一威胁。”本文翻译自:https://www.trendmicro.com/en_us/research/21/g/it-management-platform-kaseya-hit-with-sodinokibi-revil-ransomwa.htmlhttps://www.bleepingcomputer.com/news/security/cisa-fbi-share-guidance-for-victims-of-kaseya-ransomware-attack/
