美国软件商Kaseya 遭REvil 勒索软件供应链攻击

美国东部时间周五下午 2 点左右Kaseya 被攻击， 2021 年 7 月 3 日晚上 7:30 和晚上 9:00 更新、 7 月 4 日上午 10:00 Kaseya连发三次警告……

2021 年 7 月 4 日美国东部时间上午 10:00 Kaseya再次发出警告，Kaseya 被攻击。他们认为响应及时，仅极少数本地客户被攻击。??Kaseya 的 VSA 产品成为复杂 络攻击的受害者 ，该公司继续强烈建议本地客户的 VSA 服务器保持离线状态，直至另行通知。我们还将保持 SaaS 服务器离线，直至另行通知。客户不要点击任何链接，以防被攻击。????

根据 Kaseya 的说法，于美国东部时间周五下午 2 点左右开始攻击，虽然暂时发现只影响本地客户，但作为预防措施，该公司SaaS 服务器也已关闭。

截至周六早些时候，美国国土安全部的 络安全和基础设施安全局 (CISA) 尚未发布正式警 ，周五晚间表示，正在采取行动了解和解决最近针对 Kaseya 的供应链勒索软件攻击。VSA 和使用 VSA 软件的多个托管服务提供商 (MSP)。

因为由于美国 7 月 4 日的假期周末，由于IT 和安全团队人手不足致使响应速度较慢。

虽然现在证据表明只有极少数本地客户受到影响，但他们为了保守起见，还是关闭 SaaS 服务器，以确保尽最大努力保护其 36,000 多名客户，

Kaseya 表示正在为开发安全补丁，并且需要在重新启动 VSA 之前安装该补丁。据安全公司 Huntress 称，至少有 8 家托管服务提供商 (MSP) 遭到入侵，其 200 多家客户已受影响。

Kaseya 方面目前估计只有不到 40 名客户受到影响。

此次攻击似乎涉及利用漏洞和发送恶意 Kaseya VSA 软件更新，该更新被打包了一种勒索软件，可以加密受感染系统上的文件。

根据安全研究员 Kevin Beaumont 的说法，VSA 以管理员权限运行，这使得攻击者也可以将勒索软件发送给受影响的 MSP 的客户。

Beaumont 说在受感染的系统上，恶意软件试图禁用各种 Microsoft Defender for Endpoint 保护，包括实时监控、IPS、脚本扫描、 络保护、云样本提交、云查找和受控文件夹访问。在部署勒索软件之前，VSA 管理员帐户显然已被禁用。

根据 Huntress 的说法，本次攻击似乎是由REvil/Sodinokibi勒索软件即服务运营者发起，Sophos 和其他人也证实 REvil 参与其中。

Sophos 的 Mark Loman 解释说：“REvil 二进制C:Windowsmpsvc.dll被旁加载到合法的 Microsoft Defender 副本中，复制到C:WindowsMsMpEng.exe以从合法进程运行加密”

勒索软件加密器使用属于加拿大一家运输公司的有效数字签名进行签名。

本次攻击者要求支付 50,000 美元，而在其他攻击 道中，发现他们要求受害者支付 500 万美元的赎金。REvil 攻击通常采取双重攻击，从受感染系统窃取数据，以迫使受害者支付赎金，目前尚不清楚攻击中是否有任何文件被盗。最近REvil 勒索软件还被用于 攻击JBS ，并获取了 1100 万美元赎金。

Huntress、Sophos和Kevin Beaumont已分享了此次攻击的IOC 。Emsisoft 的 Fabian Wosar 分享了一份勒索软件加密器配置的副本。

前次，我在整理《勒索软件需知二三点》中，提到周末和节假日要格外警惕。过去一年中的大多数勒索软件攻击都发生在周末或假期，此时组织更有可能对威胁做出较慢的响应。这次，Kaseya被攻击，正好证实了周末是组织防护和应急处置最薄弱的时间节点，其实这个也很好理解，一方面如果工作日未出现安全问题，那么系统存在问题基本上会滞留的周末，而这两天基本上安全人员一般不会实时监测组织的 络安全，这也为黑客攻击提供了两天绝佳的窗口，一旦攻击成功，那么组织人员参与应急也会极大的滞后。另外，还是建议单位能够多重用一些有心人，工作扎实开展每个单位都需要几个有心人，否则安全这事就会不堪设想。

所谓无巧不成书，这次美国 Kaseya供应链攻击安全事件的发生也为我们周末 络安全防护提了一个醒！

你的周末，黑客不过，他们正在为你而加班！他们最擅长寻找你的薄弱点和薄弱时间段，非常会见缝插针。

https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689-Important-Notice-July-2nd-2021