7月2日,IT管理软件制造商Kaseya通知客户,它已对针对其VSA产品客户的攻击展开调查。攻击者利用零日漏洞——以及合法的VSA功能——向MSP及其客户发送REvil勒索软件。此次攻击似乎影响了数十名Kaseya客户和数百家下游企业。发起这次攻击的 络犯罪集团使用勒索软件加密被破坏系统上的文件,他们希望由此获得数千万美元的收益。
好消息是,它并不像我们最初担心的那样具有破坏性。由于REvil远程执行攻击,他们从未访问过受害者的 络,因此无法删除备份或窃取数据。
坏消息是,就在攻击开始时,Kaseya正在为零日漏洞开发补丁,这次攻击差点就被阻止了。由于美国利益不断受到勒索软件的攻击,拜登总统曾警告普京总统,俄罗斯需要逮捕在俄罗斯运作的勒索软件团伙,否则美国将采取行动。9日,拜登总统致电普京总统,要求对相关勒索团伙实施打击。
在5月份针对国际肉类供应商JBS的另一起入侵事件之后,这个勒索软件组织已经成为美国情 机构的目标。一些专家推测,发生在7月4日美国国庆日之前的Kaseya袭击事件可能被解读为对美国政府加强审查的回应。根据威胁情 公司Recorded Future的数据,该组织占已知勒索软件受害者的42%。该组织将其勒索软件代码作为一项服务提供给附属组织,进一步扩大了其在 络犯罪领域的影响力。
勒索软件已成为拜登政府面临的一个紧迫的国家安全问题。
2021年7月4日
Kaseya正在修补零日漏洞的时候REvil勒索软件发动了攻击
用来破坏内部Kaseya VSA服务器的零日漏洞正在修复中,几乎就在同时REvil勒索软件团伙利用它在7月2日进行大规模攻击。
REvil正在增加勒索软件攻击受害者的赎金
在7月2日的Kaseya勒索软件攻击中,REvil勒索软件团伙增加了对数据加密受害者的赎金要求。
新AvosLocker RaaS出现
Toffee在黑客论坛上看到了一个名为AvosLocker的新RaaS。将.avos扩展名附加到加密的文件中,并留下了GET_YOUR_FILES_BACK.txt勒索便条。
2021年7月5日
REvil勒索组织要求7000万美元解密所有Kaseya攻击的受害者
REvil勒索软件为破解Kaseya供应链攻击期间锁定的所有系统设定了赎金数额。该团伙想要7000万美元的比特币来购买解密密钥,可以让所有受影响的企业恢复他们的文件。
CISA和FBI发布对Kaseya勒索软件攻击受害者的指导
CISA和联邦调查局(FBI)已经分享了受REvil供应链勒索软件攻击影响的管理服务提供商(MSPs)及其客户的指导意见,勒索组织攻击了Kaseya基于云的MSP平台的系统。
新的STOP Djvu勒索软件变种出现
PCrisk发现新的STOP勒索软件变体,被加密文件的扩展名为.zqqw和.pooe。
2021年7月6日
美国警告称,如果俄罗斯拒绝,将对勒索软件团伙采取行动
白宫新闻秘书珍·帕莎(Jen Psaki )表示,如果俄罗斯政府拒绝采取行动,美国将对来自俄罗斯的 络犯罪组织采取行动。
Kaseya:大约有1500家企业受到了REvil勒索软件的攻击
Kaseya表示,REvil供应链勒索软件攻击破坏了使用该公司VSA现场产品的约60名直接客户的系统。
瑞典超市因Kaseya 络攻击关闭
在受到针对美国公司Kaseya的 络攻击三天后,瑞典主要的800家连锁超市中的大多数仍处于关闭状态。Coop的新闻发言人凯文·贝尔(Kevin Bell)强调,形势看起来“比几天前还乐观”,他告诉法新 ,“大多数”门店仍然关闭。
2021年勒索软件统计:第二季度 告
2021年第二季度是迄今为止对美国基础设施勒索软件攻击最厉害的阶段。5月7日,美国最大的成品油管道系统运营商Colonial输油公司感染了“DarkSide”勒索软件。攻击导致公司停业六天,直到Colonial管道公司支付了440万美元的赎金才得以解决。该公司首席执行官约瑟夫·布朗特称这一决定是“为我们的国家做的正确的事情”。
2021年7月7日
出现用Cobalt Strike伪造Kaseya VSA安全更新的攻击行动
威胁行为者正试图利用正在进行的Kaseya勒索软件攻击危机,通过垃圾邮件活动将潜在受害者作为目标,投递伪装成Kaseya VSA安全更新的Cobalt Strike有效攻击载荷。
新的STOP Djvu勒索软件变种
PCrisk发现了一个新的STOP勒索软件变种,以.zzla为扩展名。
2021年7月8日
Conti解包|了解勒索软件开发作为检测响应
“勒索软件即服务”(Ransomware as a Service)的变种Conti问世还不到两年,已经进行了第七次迭代,事实证明它是一种敏捷而娴熟的恶意软件威胁,能够自主和引导操作,并具有无与伦比的加密速度。截至2021年6月,Conti独特的功能已经帮助其子公司从400多个组织勒索了数百万美元。
供应商Accellion黑客入侵后摩根斯坦利 告数据泄露事件
投资银行公司摩根士丹利(Morgan Stanley) 告称,黑客入侵第三方供应商Accellion FTA服务器,窃取了其客户的个人信息。
“勉强跟上”:美国的 络战士因受到攻击而分散
查尔斯·卡马卡尔(Charles Carmakal)面临着一个问题:勒索软件变得如此猖獗,以至于他的业务太多了。
有缺陷的Kaseya遭到勒索软件攻击后,REvil受害者拒绝支付赎金
REvil勒索软件团伙对MSPs及其客户的攻击从表面上看应该是成功的,但他们在典型策略和程序上的改变却导致很少支付赎金。
新的跟踪勒索攻击的 站推出
杰克·凯布尔(Jack Cable )推出了一个名为Ransomwarewhere的勒索支付追踪 站。
新ransomware狩猎
迈克尔·吉莱斯皮正在寻找一个新的勒索软件,扩展名为.nohope,赎金纸条名为NOHOPE_README.txt。
2021年7月9日
Kaseya警告推送虚假安全更新的 络钓鱼活动
Kaseya警告客户说,假借合法的VSA安全更新的恶意附件和嵌入链接邮件来企图攻破他们的 络,这也正是利用此次勒索热点事件进行的 络钓鱼活动。
保险巨头CNA 告在勒索软件攻击后发生数据泄露
美国领先的保险公司CNA Financial Corporation通知客户,其系统在3月份遭到Phoenix CryptoLocker勒索软件攻击后出现数据泄露。
Kaseya公司再次推迟黑客攻击后重启
遭受勒索软件攻击,导致世界各地的公司将重启服务器的时间推迟,以加强抵御进一步入侵的防御。Kaseya首席执行长佛瑞德·Voccola当地时间7日晚间在 上发布了一段更新视频,向客户道歉,称不重启系统的决定是他职业生涯中最艰难的决定。
拜登再次敦促普京打击在俄罗斯境内活动的勒索软件团伙
系列回顾
⊙秦安:美国不支持“台独”,是三大战略方向失败后,布局中国的重要信
⊙“滴滴企业版”等25款App被下架
⊙国家互联 办公室关于《 络安全审查办法(修订草案征求意见稿)》公开征求意见通知
——END——
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!