美国软件商Kaseya 遭REvil 勒索软件供应链攻击

美国东部时间周五下午 2 点左右Kaseya 被攻击, 2021 年 7 月 3 日晚上 7:30 和晚上 9:00 更新、 7 月 4 日上午 10:00 Kaseya连发三次警告……

2021 年 7 月 4 日美国东部时间上午 10:00 Kaseya再次发出警告,Kaseya 被攻击。他们认为响应及时,仅极少数本地客户被攻击。  Kaseya 的 VSA 产品成为复杂网络攻击的受害者 ,该公司继续强烈建议本地客户的 VSA 服务器保持离线状态,直至另行通知。我们还将保持 SaaS 服务器离线,直至另行通知。客户不要点击任何链接,以防被攻击。    

根据 Kaseya 的说法,于美国东部时间周五下午 2 点左右开始攻击,虽然暂时发现只影响本地客户,但作为预防措施,该公司SaaS 服务器也已关闭。

截至周六早些时候,美国国土安全部的网络安全和基础设施安全局 (CISA) 尚未发布正式警报,周五晚间表示,正在采取行动了解和解决最近针对 Kaseya 的供应链勒索软件攻击。VSA 和使用 VSA 软件的多个托管服务提供商 (MSP)。

因为由于美国 7 月 4 日的假期周末,由于IT 和安全团队人手不足致使响应速度较慢。

虽然现在证据表明只有极少数本地客户受到影响,但他们为了保守起见,还是关闭 SaaS 服务器,以确保尽最大努力保护其 36,000 多名客户,

Kaseya 表示正在为开发安全补丁,并且需要在重新启动 VSA 之前安装该补丁。据安全公司 Huntress 称,至少有 8 家托管服务提供商 (MSP) 遭到入侵,其 200 多家客户已受影响。

Kaseya 方面目前估计只有不到 40 名客户受到影响。

此次攻击似乎涉及利用漏洞和发送恶意 Kaseya VSA 软件更新,该更新被打包了一种勒索软件,可以加密受感染系统上的文件。

根据安全研究员 Kevin Beaumont 的说法,VSA 以管理员权限运行,这使得攻击者也可以将勒索软件发送给受影响的 MSP 的客户。

Beaumont 说在受感染的系统上,恶意软件试图禁用各种 Microsoft Defender for Endpoint 保护,包括实时监控、IPS、脚本扫描、网络保护、云样本提交、云查找和受控文件夹访问。在部署勒索软件之前,VSA 管理员帐户显然已被禁用。

根据 Huntress 的说法,本次攻击似乎是由REvil/Sodinokibi勒索软件即服务运营者发起,Sophos 和其他人也证实 REvil 参与其中。

Sophos 的 Mark Loman 解释说:“REvil 二进制C:\Windows\mpsvc.dll被旁加载到合法的 Microsoft Defender 副本中,复制到C:\Windows\MsMpEng.exe以从合法进程运行加密”

勒索软件加密器使用属于加拿大一家运输公司的有效数字签名进行签名。

本次攻击者要求支付 50,000 美元,而在其他攻击报道中,发现他们要求受害者支付 500 万美元的赎金。REvil 攻击通常采取双重攻击,从受感染系统窃取数据,以迫使受害者支付赎金,目前尚不清楚攻击中是否有任何文件被盗。最近REvil 勒索软件还被用于 攻击JBS ,并获取了 1100 万美元赎金。

Huntress、Sophos和Kevin Beaumont已分享了此次攻击的IOC 。Emsisoft 的 Fabian Wosar 分享了一份勒索软件加密器配置的副本。

前次,我在整理勒索软件需知二三点中,提到周末和节假日要格外警惕。过去一年中的大多数勒索软件攻击都发生在周末或假期,此时组织更有可能对威胁做出较慢的响应。这次,Kaseya被攻击,正好证实了周末是组织防护和应急处置最薄弱的时间节点,其实这个也很好理解,一方面如果工作日未出现安全问题,那么系统存在问题基本上会滞留的周末,而这两天基本上安全人员一般不会实时监测组织的网络安全,这也为黑客攻击提供了两天绝佳的窗口,一旦攻击成功,那么组织人员参与应急也会极大的滞后。另外,还是建议单位能够多重用一些有心人,工作扎实开展每个单位都需要几个有心人,否则安全这事就会不堪设想。

所谓无巧不成书,这次美国 Kaseya供应链攻击安全事件的发生也为我们周末网络安全防护提了一个醒!

你的周末,黑客不过,他们正在为你而加班!他们最擅长寻找你的薄弱点和薄弱时间段,非常会见缝插针。


参考来源,更多内容可以访问:

https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689-Important-Notice-July-2nd-2021

勒索软件需知二三点

有效保卫工业控制系统的七个步骤

专家解读:数据安全与数据安全法

信息安全技术:健康医疗数据安全指南思维导图

2021年五月份恶意软件之“十恶不赦”排行榜

(0)

相关推荐

  • 网络黑客袭击成风,这次索要7000万美金

    黑客组织"REvil"对美国一家公司实施攻击,要求支付7000万美元的赎金.然而这次袭击造成了多米诺骨牌效应,使数千家公司陷入瘫痪. 自周五下午开始,全球数以千计的公司已经在敲诈勒 ...

  • 神州数码:三大业务全线增长,多措并举塑造新优势

    2020年,整个IT行业中流行两个关键词,在中文搜索结果中都上亿个. 云计算,已经深入到了百行百业,逐渐成为了数字经济发展的基石. 信创,从提出到构建产业格局,覆盖从芯片到整机到系统到软件到云的生态链 ...

  • 2011中国IT运维大会

    2011中国IT运维大会由中国计算机用户协会指导,中国电子信息产业发展研究院(赛迪集团)主办,<网管员世界>杂志社.IT运维网承办. 本次大会受到了各单位的高度关注和热情参与,得到了业界众 ...

  • 卡巴斯基:2020年是“勒索软件2.0”在亚太地区最有成效的一年

    卡巴斯基专家揭示该地区出现两个最为活跃的勒索软件家族,因此网络防御应当有所提高 卡巴斯基今天确认,2020年是亚太地区(APAC)的"勒索软件2.0"年.这家全球网络安全公司的专家 ...

  • 艾瑞:中国商务服务全景分析

    艾瑞咨询  · 10小时前 关注 中国商务服务业务种类多元.庞大,且商务服务拓客并不像ToC领域一样成熟,各从业者仍在进行各种探索. 核心摘要: 中国商务服务业务种类多元.庞大,且商务服务拓客并不像T ...

  • 神秘消失的黑客组织“REvil”的暗网服务器突然复活

    #我要上微头条#在 2021 年 7 月针对 IT 管理服务"Kaseya"的大规模勒索软件攻击之后,网络犯罪组织"REvil"突然从暗网中消失,没有任何明显的 ...

  • 盘点:2020年轨道交通典型网络攻击事件

    铁路是国家战略性.先导性.关键性重大基础设施,是国民经济大动脉.重大民生工程和综合交通运输体系骨干,在经济社会发展中的地位和作用至关重要.城市轨道交通是全面开启建设社会主义现代化强国的重要支撑,是建设 ...

  • 攻击占比50%以上,8大行业遭受重创,盘点2020年5大勒索软件

    2020年第三季度勒索软件攻击占所有恶意软件攻击的51%,同比上涨24% 医疗行业.制造业与工业受勒索软件攻击占比分别为16% 科学教育行业受勒索软件攻击占比为13% IT.政府受勒索软件攻击占比分别 ...

  • 连环勒索企业案,是吸金还是吸血?

    截至目前,Darkside已公布了40多位受害者的机密信息. " 作者 | 韦慧妍 5月7日,黑客组织黑暗面(DarkSide)为索取赎金,对美国最大燃油管道运营商科洛尼尔(Colonial ...

  • 瑞典连锁超市遭遇国际黑客袭击,数百家店被迫停业

    Coop是瑞典最大的连锁超市品牌之一,拥有800多家大大小小的超市,从瑞典北部的Katterjåkk到最南端的Smygehamn都有.但星期六所有去Coop采购的人都吃了闭门羹.店门口贴着告示:&qu ...