美国东部时间周五下午 2Kaseya 被攻击,2021年7月3日晚上7:30 ,晚上9:00 连续被攻击, 7 月4日上午10:00 Kaseya再次发出警告,Kaseya 被攻击。这次攻击针对的是 Kaseya的本地 VSA 产品。
目前Kaseya强烈建议当地客户 VSA 服务器直到另行通知才离线。
攻击者利用漏洞发送恶意 Kaseya VSA 软件更新包装了一种勒索软件,可以加密感染系统上的文件。
根据安全研究员 Kevin Beaumont 的说法,VSA 以管理员的权限运行,这使得攻击者也可以向受影响的 发送勒索软件MSP 的客户。
恶意软件一旦感染受害者系统,试图禁用各种 Microsoft Defender for Endpoint 保护包括实时监控IPS、脚本扫描、网络保护、云样本提交、云搜索和控制文件夹访问。VSA显然, 管理员账户已被禁用。
根据 Huntress 据说这次攻击似乎是由REvil/Sodinokibi由服务运营商发起的勒索软件。
Kaseya 是托管服务提供商(MSP) 和 IT 公司提供 IT 管理软件的公司将在周末遭遇 REvil(又名 Sodinokibi)勒索软件攻击描述为本地 VSA 产品的“复杂的网络攻击”。除了建议所有客户关闭当地 VSA 服务器,直到另行通知,Kaseya 还决定在调查期间立即关闭他们的软件,即服务 (SaaS) 服务器,作为一种保守的安全措施。
REvil 勒索软件攻击者
截止发文时,Kaseya 本次攻击的技术信息尚未发布,但网络安全和基础设施安全局 (CISA) 透露,攻击者使用Kaseya 的 VSA 软件推送恶意脚本。
攻击者利用VSA恶意 软件推送PowerShell 脚本,然后 REvil 向客户系统加载勒索软件。同样重要的是,非kaseya客户也可能受到他们服务提供商的影响。
影响 Kaseya VSA 的 Sodinokibi/REvil 勒索软件( Ransom.Win32.SODINOKIBI.YABGC)某些服务将被禁止并终止与法律软件(如浏览器和生产力应用程序)相关的过程。具体来说,它终止了以下过程:
- agntsvc
- dbeng50
- dbsnmp
- encsvc
- excel
- firefox
- infopath
- isqlplussvc
- msaccess
- mspub
- mydesktopqos
- mydesktopservice
- ocautoupds
- ocomm
- ocssd
- onenote
- oracle
- outlook
- powerpnt
- sqbcoreservice
- sql
- steam
- synctime
- tbirdconfig
- thebat
- thunderbird
- visio
- winword
- wordpad
- xfssvccon
如果 Sodinokibi 检测到以下任何一种操作系统语言,将自行终止:
- 阿拉伯语——叙利亚;
- 亚美尼亚东部;
- 西里尔文阿塞拜疆;
- 阿塞拜疆拉丁语;
- 白俄罗斯语;
- 格鲁吉亚语;
- 哈萨克语;
- 吉尔吉斯西里尔文;
- 罗马尼亚语——摩尔多瓦;
- 俄语;
- 俄语 ——摩尔多瓦;
- 叙利亚语;
- 塔吉克;
- 鞑靼;
- 土库曼斯坦;
- 乌克兰语;
- 乌兹别克西里尔文;
- 乌兹别克语拉丁语;
受影响系统的壁纸更改为图像
Sodinokibi 赎金通知
REvil 勒索软件被认为是 GandCrab 的迭代产品以强迫受害者为知名受害者支付赎金而闻名。REvil 攻击者最近也是肉类供应商 JBS 幕后黑手被大规模勒索软件攻击。
安全建议
虽然调查仍在进行中,但对于受影响的用户,请遵循 Kaseya 指导保护其系统免受进一步损坏是非常重要的。截至2021年7月3日晚9点(美国东部时间),该公司已建议关闭所有当地VSA只有在部署补丁后,服务器才能重新启动。
由于勒索软件具有多个入口点和加密功能,企业需要良好的备份策略和多层安全方法来保护其网络和关键业务数据:
- 电子邮件和 Web 通过防止垃圾邮件和恶意链接访问,防止勒索软件进入您的网络;
- 服务器保护保护服务器免受可利用的漏洞的影响;
- 网络保护通过防止勒索软件从服务器传输到终端或从终端传输到终端来保护您的网络;
- 终端保护通过防止勒索软件运行来保护终端;
IOC
(1) 勒索软件加密器由 {Path}\agent.exe 投放,检测为 Trojan.Win32.SODINSTALL.YABGC,通过 DLL 使用合法可执行文件加载 DLL (Ransom.Win32.SODINOKIBI.YABGC);
(2) VSA 程序被命名为“Kaseya VSA Agent Hot-fix”;
(3) 加密和过程终止至少有两个特定的任务。使用上述加密器似乎是特定的 PowerShell 脚本。
攻击迫使瑞典连锁超市Coop关闭800家门店
是瑞典最大的杂货连锁店之一Coop 称,Kaseya安全事件发生后,其出纳工具的远程更新受到攻击的影响,无法支付,导致全国近800家门店被迫关闭。
Coop 发言人 Therese Knapp 告诉瑞典电视台:
瑞典通讯社TT 说,瑞典公司 Visma Esscom 使用了 Kaseya 技术,该公司为许多瑞典企业管理服务器和设备。
根据最新消息, Kaseya 在开始向客户发布验证的维修程序之前,REvil 附属公司已经掌握了漏洞的详细信息,并试图利用它。
REvil勒索软件组织声称已经加密了100多万个系统,并要求支付 7000 10000美元的赎金。然而,今天,攻击者将价格降至 5000万美元。
这是历史上最高的赎金要求,但之前的最高赎金记录也属于 REvil,在攻击台湾电子和计算机制造商宏碁后,他要求支付5000 万美元的赎金。
这不是 REvil 勒索软件首次用于攻击 MSP,2019 年 6 月,REvil 的一家子公司通过远程桌面使用其管理软件瞄准 MSP,勒索软件安装程序已经传播到他们管理的所有客户终端。
据信,同一附属公司此前曾与 合作GandCrab 合作,2019年 1 月攻击 MSP 网络,当时REvil 组织要求 解密锁7000万美元Kaseya 攻击中的系统。
目前Kaseya发言人没有评论公司是否考虑支付 REvil 组织赎金要求。写本文时,Kaseya 勒索软件事件影响了全球数千家公司。VSA 设备以 为基础Web 平台通常由大公司或托管服务提供商 (MSP) 用于管理远程计算机组,REvil 组织是通过感染 VSA 服务器转向所有连接的工作站和企业网络。
REvil技术分析勒索软件
REvil 勒索软件在黑市宣传了三年,是最大的 RaaS 操作之一REvil 运营商的跟踪分析显示,该组织在 2020 年的运营中赚取了1亿多美元。该组织于2019年 4月在另一个解散的勒索软件组织 GandCrab 关闭后首次被观察到。在本次对kaseya在攻击案例中,攻击者通过 PowerShell 脚本部署恶意 dropper,脚本由供应商代理执行:
禁用这个脚本 Microsoft Defender 终端保护功能,然后使用 certutil.exe (agent.exe),可执行文件将下载合法 Microsoft 二进制文件(MsMpEng.exe,Microsoft Defender 的旧版本)和恶意库 (mpsvc) .dll),这是 REvil 勒索软件的整个攻击过程。然后,法律 MsMpEng.exe 使用 DLL 边加载技术 (T1574.002) 加载此库。
“agent.exe” dropper 执行过程
研究人员在撰写本文时,已观察到 22 国家/地区 5000 多次攻击试图。
尝试攻击的地理分布
REvil使用Salsa20对称流算法加密文件内容,采用椭圆曲线非对称算法加密钥。由于恶意软件中使用的安全加密方案和实现,如果没有网络犯罪分子的密钥,就无法解密受恶意软件影响的文件。
卡巴斯基产品可以防止这种威胁,并使用以下名称进行测试:
- UDS:DangerousObject.Multi.Generic
- Trojan-Ransom.Win32.Gen.gen
- Trojan-Ransom.Win32.Sodin.gen
- Trojan-Ransom.Win32.Convagent.gen
- PDM:Trojan.Win32.Generic
卡巴斯基TIP查询页面的0x561CFFBABA71A6E8CC1CDCEDA990EAD4二进制文件部分
为了保护您的公司免受勒索软件 2.0卡巴斯基专家建议 攻击:
- 远程桌面服务(如 RDP)暴露给公共网络,并始终使用强密码;
- 及时安装商业用途VPN可用的解决方案补丁,为远程员工提供访问,并在网络中充当网关;
- 保持您使用的所有设备上的软件更新,以防止勒索软件使用漏洞;
4.将您的防御策略集中在检测水平移动和数据泄露到互联网上,并特别注意流出的流量,以检测网络罪犯的连接。定期备份数据,以确保在紧急情况下快速访问。使用最新的威胁信息来了解攻击者使用的实际情况TTP。
CISA 和 FBI 也分享了 Kaseya 勒索软件攻击受害者的指南
CISA 和 FBI已为受 REvil 受供应链勒索软件攻击影响的托管服务提供商 (MSP) 及其客户共享了一些攻击 的安全指南Kaseya 以云为基础MSP 平台系统。
这两个联邦机构的建议REvil 攻击影响的 MSP 周末使用 Kaseya 提供的检测工具进一步检查其系统是否有入侵迹象,并在尽可能多的账户上使用多因素身份验证 (MFA)。
此外,MSP 还应实施许可名单,限制其内部资产的访问,并使用防火墙或 VPN 保护其远程监控工具的管理界面。
CISA 和 FBI 是受影响的 MSP 提供的完整建议列表包括:
- 下载Kaseya VSA检测工具,工具分析系统(VSA服务器或托管终端将确定是否存在攻击指标(IoC);
- 在组织控制下的每个账户上启用和实施多因素身份验证(MFA),并尽可能为客户服务启用和实施MFA;
- 实施许可名单将与远程监控和管理 (RMM) 已知 功能的通信限制IP 地址;
- 将 RMM 的管理接口位于虚拟专用网络 (VPN) 或专门管理网络上的防火墙;
- 建议 受攻击影响MSP 客户尽可能多地使用和执行 MFA,并将其放置在气隙系统上,以保护其备份。
CISA 和 FBI 建议受影响 MSP 客户:
- 确保备份是最新的,并存储在与组织网络隔离的易于检索的位置;
- 恢复手动补丁管理流程,包括在新补丁可用时立即安装;
- 实施关键网络资源管理员账户MFA 和最小权限原则;
FBI在周末发表的一份官方声明中说:
本文翻译自:
https://www.trendmicro.com/en_us/research/21/g/it-management-platform-kaseya-hit-with-sodinokibi-revil-ransomwa.html https://www.bleepingcomputer.com/news/security/cisa-fbi-share-guidance-for-victims-of-kaseya-ransomware-attack/