据报道,远程IT服务管理软件Kaseya VSA在被勒索软件攻击三天后,事件的范围逐渐明确:攻击者声称他们入侵了100多万台电脑,要求7000万美元(约合人民币)4.51亿元)解密这些受影响的设备。
托管服务提供商使用Kaseya远程软件IT但7月2日,该项目与俄罗斯有联系REvil勒索软件攻击团伙部署恶意软件更新,影响平台的供应商及其客户。
荷兰漏洞披露研究所(DIVD)据透露,攻击中使用的漏洞似乎与他们发现的漏洞相同,他们正在处理此事。“对备份及系统管理工具及其漏洞进行了广泛调查。”DIVD说,“Kaseya VSA是我们调查的产品之一。我们发现该产品存在严重的漏洞,并向前发展Kaseya从那以后,报告一直与之保持定期联系。”
上周五,Kaseya CEO弗雷德·沃考拉(Fred Vocolla)表示,“目前估计全球只有少数客户受到影响。”网络安全公司Sophos副总裁罗斯·麦克查(Ross McKerchar)上周日在声明中透露:“这是Sophos到目前为止,勒索软件攻击的传播速度最快。我们目前获得的证据显示,70多家托管服务提供商受到影响,350多家组织受到影响。我们预计,实际受影响的组织数量将超过任何安全公司的报告数量。”
美国副国家安全顾问安妮,负责网络和新兴技术的美国总统拜登之前的评论·纽伯格(Anne Neuberger)进一步表示:“联邦调查局(FBI)网络安全和基础设施安全(CISA)根据国家风险评估,联系受害者提供帮助。”
安全公司Huntress Labs也参与了攻击应对活动,并对大多数可用信息进行归档。该公司称,此次攻击影响了该公司追踪的1000多家企业。
Sophos、Huntress和其他安全公司一起提到REvil在其“快乐博客”(Happy Blog)上面发表的一篇文章声称感染了100多万台设备,并要求通过比特币支付7000万美元来解锁它们。
REvil已经实施了多起勒索软件攻击,包括2019年6月与Kaseya今年早些时候针对肉类供应商的攻击和攻击JBS攻击。但安全研究人员马库斯·哈钦斯(Marcus Hutchins)他怀疑该组织的声明,他认为他们夸大了影响范围,以要求更多的赎金。
目前为止,Coop该公司在瑞典拥有800多家杂货店,但由于攻击导致收银员故障,上周六被迫关闭该店。该公司在其官方网站上发布通知称,它可以使用Scan&Pay手机购物商店已经重新开业,其他商店仍然关闭。
专家预计,美国公司可能会在周二结束独立假期后发现更多的受害者。
攻击发生三天后,Kaseya的SaaS云服务器仍处于离线状态。该公司表示,他们将提供今晚服务器恢复的最新时间表,并将披露更多与攻击相关的技术细节,以帮助客户和研究人员采取恢复措施。