上周REvil 勒索软件团伙获得了Kaseya基础设施的访问权限,并使用其 VSA 软件的更新在企业网络上部署勒索软件,目前已有多家企业数据被加密。Kaseya/REvil事件目前被认为是网络犯罪团伙发起的最大的勒索软件爆发。
REvil勒索软件团伙介绍:GandCrab 是曾经最大的 RaaS(勒索软件即服务)运营商之一,在赚得盆满钵满后于 2019 年 6月宣布停止更新。随后,另一个勒索运营商买下了GandCrab 的代码,即最早被人们称作Sodinokibi 勒索病毒。由于在早期的解密器中使用了“REvilDecryptor”作为程序名称,这个勒索运营商就是REvil勒索软件团伙。其专注于财务的威胁行为者,被认为是当今最先进的勒索软件的服务运营商.
Kaseya介绍:美国一家软件公司,致力于IT管理服务,是全球有名的远程管理解决方案提供商。众多IT服务外包商是Kaseya的客户。
7月 2日星期五,当时美国的大多数 IT团队正准备美国周时,Kaseya首席执行官 Fred Voccola通告勒索软件团伙可能获得了对 Kaseya后端基础设施的访问权限,并滥用它向在客户端运行的 VSA服务器部署恶意更新。
该恶意更新用于将一个版本的REvil勒索软件从 VSA服务器安装到所有连接的工作站,从而有效感染连接到受攻击 VSA系统的其他第三方公司的网络。
7月2日在周五攻击期间受到影响的 MSP包括 VismaEssCom、Synnex和Avtex。
7月3日周六,防病毒供应商 ESET表示,它检测到REvil勒索软件感染激增,这与正在进行的 Kaseya事件有关。大部分感染来自位于英国的系统,其次是南非、德国和美国。根据ESET的遥测数据,已经确定了感染了英国、南非、加拿大、德国、美国、哥伦比亚、墨西哥,荷兰,印度尼西亚,日本,毛里求斯,新西兰,西班牙和土耳其国家MSP的系统。
瑞典最大的连锁超市之一的Coop,在周五Kaseya安全事件发生后,其一名承包商遭到勒索软件攻击,该公司已关闭了全国近 800家商店,只有5家店未受影响。
REvil 要求受害者支付7000万美元来解密在 Kaseya攻击中被加密的系统
REvil在暗网博客中发布的消息:周五我们对MSP提供商进行了一轮攻击,超过百万个系统被勒索病毒感染,如果你们想解密,支付7千万美元的比特币后我们会公布解密文件的密钥,你们可以在1小时内回复所有文件。如果你对交易感兴趣,请按照“自述”文件说明与我们联系。
攻击者是如何得知该漏洞的?
荷兰网络安全组织 DIVD主席Gevers表示,攻击者正在利用 Kaseya VSA 服务器中的一个漏洞,该漏洞是其研究人员几周前发现的。Gevers 拒绝分享有关勒索软件团伙周五利用的漏洞性质的详细信息,但在 Reddit 的评论中,安全公司 Huntress Labs 是最早发现攻击的安全公司之一,他说大多数迹象都表明 VSA Web 界面中存在身份验证绕过漏洞。
该漏洞似乎已被用于绕过 VSA Web 面板上的身份验证,然后在 VSA 设备上运行 SQL 命令并将勒索软件部署到所有连接的客户端。在客户网络上,VSA 设备部署了“VSA 代理修补程序”程序包,该程序包使用较旧且易受攻击的 Microsoft Defender 应用程序版本绕过防病毒解决方案,该应用程序用于加密本地工作站。
其实VSA Web的漏洞早在4月2日就被提交到CVE漏洞库,且提交者按照CVE相关规定并未对外披露,REvil如何获取的漏洞目前还不清楚。只是在3个月的时间内,Kaseya一直未解决此问题。
目前Kaseya已关闭基于云的基础设施,并敦促所有 VSA所有者将服务器脱机。
Kaseya表示他们现在已经确定了攻击中使用的漏洞,并正在周六的更新中准备缓解措施。
该公司还表示,它聘请了安全公司 FireEye 以及其他几家安全公司来帮助调查黑客行为。它还向所有拥有本地 VSA 服务器的客户发布了一个名为“妥协检测工具”的新工具,以帮助所有者确定他们的服务器是否在周五的攻击中遭到黑客攻击。
DIVD 已经在互联网上扫描了所有 VSA 服务器,它表示,从攻击前最初看到的 2,200 台服务器中,只有不到 140 台服务器今天仍然在线连接。
Kaseya缘何被多次攻击,如何防范供应链攻击
2019年 2月,Gandcrab勒索软件团伙滥用 ConnectWise Manage软件的 Kaseya插件中的漏洞,在 MSP的客户网络上部署勒索软件。
在Gandcrab团伙更名为REvil之后,他们于2019年 6月对 MSP发起了第二次攻击,当时他们滥用 WebrootSecureAnywhere和 Kaseya VSA产品再次将勒索软件从 MSP部署到他们的客户网络。
这已是第三次被Revil盯上。为何Kaseya屡次被黑客团伙攻击,不得不提到供应链攻击,供应链攻击是一种以软件开发人员和供应商为目标的新出现的威胁。目标是通过感染合法应用来分发恶意软件来访问源代码、构建过程或更新机制。当攻击上游的软件提供商成功后,可以利用上游厂商的平台,软件迅速扩大影响范围(典型的如SolarWinds事件)。
对于供应链攻击,安全防范涉及软件的安全设计,开发,交付,部署,运维,重点加强供应链上游的安全管理。全面防范供应链攻击是一个系统的工程,限于篇幅,介绍一下防范的重点
对于软件开发人员和供应商:
1. 维护高度安全的生成和更新基础结构。
- 立即为操作系统和软件应用安全修补程序。
- 实施强制完整性控制,以确保仅运行受信任的工具。
- 要求管理员进行多重身份验证。
2.构建安全的软件更新程序,作为软件开发生命周期的一部分。
- 更新通道和实现证书固定需要 SSL。
- 对一切内容进行签名,包括配置文件、脚本、XML 文件和程序包。
- 检查数字签名,不要让软件更新程序接受常规输入和命令。
3. 制定针对供应链攻击的事件响应流程。
- 披露供应链事件,并及时准确地通知客户
对于软件或平台使用者:
- 部署强代码完整性策略以仅允许运行授权的应用。
- 使用可以自动检测和修正可疑活动的终结点检测和响应解决方案。
关注我,带您了解更多网络安全动态。