最近,安全研究人员成功复制了最近IT管理软件制造商Kaseya以及用于客户网络攻击的漏洞。
由于网络攻击,Kaseya6月2日,我敦促客户立即关闭它VSA本地服务器的端点管理和网络监控工具。Kaseya的SaaS部署似乎没有受到影响,但供应商已经关闭了服务作为预防措施。
与REvil与勒索软件相关的网络犯罪分子入侵Kaseya的VSA产品通过产品向前Kaseya许多客户投放了勒索软件。虽然这次攻击只影响 Kaseya几十个直接客户,但这几十个客户大多是托管服务提供商(MSP),因此,勒索软件已经通过了这些MSP送给数百甚至数千名客户。
托管检测及响应公司Huntress一直与许多受影响的人有关MSP从这些公司收集的数据中,研究人员可以确定攻击者利用了几个零日漏洞。
该公司的研究人员试图重现攻击,并在周二展示了网络犯罪分子可能使用的漏洞利用链。该漏洞涉及身份验证、任何文件上传和命令注入缺陷。
Huntress该漏洞可能允许攻击者植入后门程序,但幸运的是,攻击者在攻击过程中没有这样做。
荷兰漏洞披露研究所(DIVD)表示,Kaseya至少已经意识到攻击者使用的一些漏洞是什么,并且正在修复它们。
攻击者通常试图加密感染系统上的文件,以增加他们获得报酬的机会。目前,一些受害者被告知支付数万美元来恢复文件,而其他财力更强的受害者则被要求支付数百万美元。据了解,一些受害者正在与网络犯罪分子私下谈判,希望恢复他们的文件。
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章