从周四下午开始,REvil勒索软件团伙(又名Sodinokibi)似乎将目标对准了拥有数千名客户的托管服务提供商(MSP)。作为KaseyaVSA供应链攻击的一部分,已知有八家大型MSP遭到入侵。KaseyaVSA是一个基于云的MSP平台,允许供应商为客户执行补丁管理和客户端监控任务。HuntressLabs的JohnHammond向BleepingComputer透露,所有受影响的MSP都在使用KaseyaVSA,他们有证据表明他们的客户也受到了影响,包括3个Huntress合作伙伴/大约200家企业。截至下午2点ET那天,这种潜在的攻击似乎仅限于少数本地客户。但Kaseya在其网站上发布了安全公告,警告所有VSA客户立即关闭服务器,以防止情况进一步蔓延。我们目前正在非常仔细地调查计时的根本原因,但在另行通知之前,我们建议大家立即关闭他们的VSA服务器。此操作很关键,应立即执行,因为攻击者做的第一件事就是关闭VSA管理访问的大门。执行REvil勒索软件的PowerShell命令(图片来自Reddit)在给BleepingComputer的一份声明中,Kaseya表示他们已经关闭了他们的SaaS服务器,并正在与其他安全公司合作调查此事件。此外,大多数勒索软件加密攻击都是在周末的深夜进行的,此时负责网络监控的人数最少。鉴于袭击发生在周五中午,袭击者可能会在本周末进行更广泛的行动。签署了agent.exe可执行文件的JohnHammond和Sophos的MarkLoman都告诉BleepingComputer,对MSP的攻击似乎是通过KaseyaVSA进行的供应链攻击。根据前者,KaseyaVSA将agent.crt文件放在c:\kworking文件夹中,并将其作为“KaseyaVSAAgentHot-fix”更新进行分发。然后在合法的Windowscertutil.exePowerShell命令的帮助下对agent.crt文件进行解码,并将agent.exe文件提取到同一文件夹中。agent.exe使用来自“PB03TRANSPORTLTD”的签名证书,辅以嵌入的“MsMpEng.exe”和“mpsvc.dll”(后者动态链接库文件被REvil勒索软件的加密器使用)。agent.exe提取并启动的嵌入式资源代码MsMPEng.exe是合法MicrosoftDefender可执行文件的旧版本,被视为调用动态链接库(DLL)文件的LOLBin,并由受信任的可执行文件加密。此外,一些样本将带有政治色彩的Windows注册表项和配置更改注入受感染的计算机。例如,BleepingComputer在[VirusTotal]样本中发现BlackLivesMatter密钥用于存储来自攻击者的配置信息。如果被抓获,勒索软件团伙会要求受害者支付500万美元的赎金,以换取其中一个样本的解密器。通常REvil在部署文件加密勒索软件之前会窃取受害者的数据,但目前尚不清楚在这次攻击中泄露了哪些文件。
