REvil勒索软件团伙再次出手，如何防范供应链攻击

上周REvil 勒索软件团伙获得了Kaseya基础设施的访问权限，并使用其 VSA 软件的更新在企业网络上部署勒索软件，目前已有多家企业数据被加密。Kaseya/REvil事件目前被认为是网络犯罪团伙发起的最大的勒索软件爆发。

REvil勒索软件团伙介绍：GandCrab 是曾经最大的 RaaS（勒索软件即服务）运营商之一，在赚得盆满钵满后于 2019 年 6月宣布停止更新。随后，另一个勒索运营商买下了GandCrab 的代码，即最早被人们称作Sodinokibi 勒索病毒。由于在早期的解密器中使用了“REvilDecryptor”作为程序名称，这个勒索运营商就是REvil勒索软件团伙。其专注于财务的威胁行为者，被认为是当今最先进的勒索软件的服务运营商.

Kaseya介绍：美国一家软件公司，致力于IT管理服务，是全球有名的远程管理解决方案提供商。众多IT服务外包商是Kaseya的客户。

7月 2日星期五，当时美国的大多数 IT团队正准备美国周时，Kaseya首席执行官 Fred Voccola通告勒索软件团伙可能获得了对 Kaseya后端基础设施的访问权限，并滥用它向在客户端运行的 VSA服务器部署恶意更新。

该恶意更新用于将一个版本的REvil勒索软件从 VSA服务器安装到所有连接的工作站，从而有效感染连接到受攻击 VSA系统的其他第三方公司的网络。

7月2日在周五攻击期间受到影响的 MSP包括 VismaEssCom、Synnex和Avtex。

7月3日周六，防病毒供应商 ESET表示，它检测到REvil勒索软件感染激增，这与正在进行的 Kaseya事件有关。大部分感染来自位于英国的系统，其次是南非、德国和美国。根据ESET的遥测数据，已经确定了感染了英国、南非、加拿大、德国、美国、哥伦比亚、墨西哥，荷兰，印度尼西亚，日本，毛里求斯，新西兰，西班牙和土耳其国家MSP的系统。

瑞典最大的连锁超市之一的Coop，在周五Kaseya安全事件发生后，其一名承包商遭到勒索软件攻击，该公司已关闭了全国近 800家商店，只有5家店未受影响。

REvil 要求受害者支付7000万美元来解密在 Kaseya攻击中被加密的系统

REvil在暗网博客中发布的消息：周五我们对MSP提供商进行了一轮攻击，超过百万个系统被勒索病毒感染，如果你们想解密，支付7千万美元的比特币后我们会公布解密文件的密钥，你们可以在1小时内回复所有文件。如果你对交易感兴趣，请按照“自述”文件说明与我们联系。

攻击者是如何得知该漏洞的？

荷兰网络安全组织 DIVD主席Gevers表示，攻击者正在利用 Kaseya VSA 服务器中的一个漏洞，该漏洞是其研究人员几周前发现的。Gevers 拒绝分享有关勒索软件团伙周五利用的漏洞性质的详细信息，但在 Reddit 的评论中，安全公司 Huntress Labs 是最早发现攻击的安全公司之一，他说大多数迹象都表明 VSA Web 界面中存在身份验证绕过漏洞。

该漏洞似乎已被用于绕过 VSA Web 面板上的身份验证，然后在 VSA 设备上运行 SQL 命令并将勒索软件部署到所有连接的客户端。在客户网络上，VSA 设备部署了“VSA 代理修补程序”程序包，该程序包使用较旧且易受攻击的 Microsoft Defender 应用程序版本绕过防病毒解决方案，该应用程序用于加密本地工作站。

其实VSA Web的漏洞早在4月2日就被提交到CVE漏洞库，且提交者按照CVE相关规定并未对外披露，REvil如何获取的漏洞目前还不清楚。只是在3个月的时间内，Kaseya一直未解决此问题。

目前Kaseya已关闭基于云的基础设施，并敦促所有 VSA所有者将服务器脱机。

Kaseya表示他们现在已经确定了攻击中使用的漏洞，并正在周六的更新中准备缓解措施。

该公司还表示，它聘请了安全公司 FireEye 以及其他几家安全公司来帮助调查黑客行为。它还向所有拥有本地 VSA 服务器的客户发布了一个名为“妥协检测工具”的新工具，以帮助所有者确定他们的服务器是否在周五的攻击中遭到黑客攻击。

DIVD 已经在互联网上扫描了所有 VSA 服务器，它表示，从攻击前最初看到的 2,200 台服务器中，只有不到 140 台服务器今天仍然在线连接。

Kaseya缘何被多次攻击，如何防范供应链攻击

2019年 2月，Gandcrab勒索软件团伙滥用 ConnectWise Manage软件的 Kaseya插件中的漏洞，在 MSP的客户网络上部署勒索软件。

在Gandcrab团伙更名为REvil之后，他们于2019年 6月对 MSP发起了第二次攻击，当时他们滥用 WebrootSecureAnywhere和 Kaseya VSA产品再次将勒索软件从 MSP部署到他们的客户网络。

这已是第三次被Revil盯上。为何Kaseya屡次被黑客团伙攻击，不得不提到供应链攻击，供应链攻击是一种以软件开发人员和供应商为目标的新出现的威胁。目标是通过感染合法应用来分发恶意软件来访问源代码、构建过程或更新机制。当攻击上游的软件提供商成功后，可以利用上游厂商的平台，软件迅速扩大影响范围（典型的如SolarWinds事件）。

对于供应链攻击，安全防范涉及软件的安全设计，开发，交付，部署，运维，重点加强供应链上游的安全管理。全面防范供应链攻击是一个系统的工程，限于篇幅，介绍一下防范的重点

对于软件开发人员和供应商：

1. 维护高度安全的生成和更新基础结构。

• 立即为操作系统和软件应用安全修补程序。
• 实施强制完整性控制，以确保仅运行受信任的工具。
• 要求管理员进行多重身份验证。

2.构建安全的软件更新程序，作为软件开发生命周期的一部分。

• 更新通道和实现证书固定需要 SSL。
• 对一切内容进行签名，包括配置文件、脚本、XML 文件和程序包。
• 检查数字签名，不要让软件更新程序接受常规输入和命令。

3. 制定针对供应链攻击的事件响应流程。

• 披露供应链事件，并及时准确地通知客户

对于软件或平台使用者：

• 部署强代码完整性策略以仅允许运行授权的应用。
• 使用可以自动检测和修正可疑活动的终结点检测和响应解决方案。

关注我，带您了解更多网络安全动态。