据报道,来自世界各地的1000多家企业受到供应链攻击的影响,黑客正在使用名称Kaseya VSA部署远程计算机管理工具中的漏洞REvil勒索软件。Kaseya基于云的服务已经关闭,并敦促所有运行本地部署的用户——包括许多托管服务提供商(MSP)——在发布补丁之前,立即关闭易受攻击的服务器。
事实上,这并不是网络犯罪分子和勒索软件团伙第一次MSP访问企业网络“入口”。然而,对于许多组织来说,防御攻击媒介并不容易,因为外包IT管理意味着做MSP为其网络和系统提供高度的特权访问。
Kaseya VSA攻击的影响
7针对月2日(上周五)Kaseya VSA美国发生了服务器攻击事件。攻击者可能是故意选择在重大节假日(7.3-7.5日本是美国的独立日假期)或周末之前发动攻击的目的是希望安全团队会更慢,因为在美国,员工在假期前缩短工作时间是很常见的。
Kaseya在一份报告中,“只有少数客户受到影响——目前估计世界上不到40个 。我们确信,我们已经掌握了漏洞的来源,并正在为我们当地部署的客户准备补丁来缓解。在完成彻底测试后,我们将尽快发布补丁,以恢复客户的正常运行。”
目前,该公司已关闭VSA的SaaS但指出其云托管服务的客户并未面临风险。Kaseya VSA是一种IT远程监控和管理(RMM)解决方案,IT网络管理员可以自动修复端点和服务器,管理备份和病毒预防部署,并自动执行其他IT远程解决和排除过程IT问题。并能够执行所有这些任务,Kaseya VSA 软件必须以管理员级别的访问权限运行。
据Kaseya介绍,其RMM解决方案有3.6万多个用户,所以不到40个受影响的客户听起来真的很小。然而,根据第三方报告,许多受影响的客户是MSP,它们使用Kaseya VSA管理数百家企业的系统和网络。
托管威胁检测和响应供应商Huntress高级安全研究员John Hammond在一篇博文中,“我们正在跟踪美国、澳大利亚、欧盟和拉丁美洲约30个 MSP,发现很多企业和Kaseya VSA有合作关系,攻击者已经通过了Kaseya VSA加密了1000多家企业。所有这些。VSA服务器都是本地部署,Huntress 已确认网络犯罪分子已被使用SQLi 漏洞,并且非常有信心使用身份验证访问这些服务器。”
Kaseya这些漏洞正在修复中
(DIVD) 表示,研究人员在上周末发现了攻击中使用的一些零漏洞,并向他们报告了这些信息Kaseya,尽快开发补丁程序。
DIVD主席兼研究主管Victor Gevers称,“在整个过程中,Kaseya他们已经表明,他们愿意尽最大努力和主动解决这个问题,并帮助客户完成漏洞修复,他们做出了明确而真诚的承诺。值得警惕的是,攻击者可以在客户完成维修之前继续使用这些漏洞。”
据Gevers称,DIVD一直和国家在一起CERTS与其他合作伙伴合作,公开识别和联系 Kaseya VSA服务器用户指出,公开曝光的实例数量已从最初的2200降至不到140。
在补丁准备好之前,Kaseya 建议客户不要打开他们的本地VSA 服务器VSA服务器或Kaseya管理的端点,以查找此次攻击的入侵迹象。
REvil及其部署方式
REvil,也称为Sodinokibi,2019年4月出现的勒索软件威胁,另一个名字是 GandCrab的RaaS团伙关闭其服务后声名鹊起。REvil 作为勒索软件,即服务(RaaS)平台运营,通过招募合作伙伴进行攻击和勒索加密,最终各方分享。在过去的一年里,REvil 已成为感染企业网络最常见的勒索软件之一。恶意软件由不同的软件制成“会员”因此,初始访问向量和攻击者在网络中采取的行动是不同的。
根据安全研究员Kevin Beaumont一旦攻击者利用零日漏洞获得正确的说法Kaseya VSA例如,他们将立即停止管理员对软件的访问,以防止攻击被阻止。然后,他们会设置一个名字“Kaseya VSA Agent Hot-fix”伪造的任务Kaseya代理更新推送到软件管理系统。
其实这个虚假的更新就是REvil 勒索软件。需要明确的是,这意味着非Kaseya客户组织仍可能加密。
鉴于Kaseya文件建议客户从防病毒扫描中排除安装VSA远程管理代理及其组件的文件夹,可以进一步推进恶意更新的部署。
安装后,REvil将执行勒索软件PowerShell命令,禁用Microsoft Defender for Endpoint实时监控、IPS、云搜索、脚本扫描、控制文件夹访问(勒索软件预防)、网络保护和云样本提交。该恶意软件还试图篡改其他供应商(包括 Sophos)各种备份系统被禁用。
勒索网站托管Tor网络上,赎金货币为门罗币(Monero)。HitmanPro恶意软件分析师 Mark Loman共享屏幕截图显示,赎金金额为5万美元。但有报道称,与攻击有关的赎金要求为500万美元。一般来说,勒索软件团伙会根据他们对受害者年收入的了解来调整勒索金额。
MSP远程管理工具不是新的攻击目标
针对MSP及其管理软件(如 Kaseya)攻击不是新现象。2018年1月,安全公司eSentire报告称攻击者通过Kaseya VSA为了部署加密货币挖掘恶意软件,它的漏洞攻击了许多客户。Kaseya 随后发布补丁解决漏洞。
2019年8月,REvil勒索软件团伙试图摧毁位于德克萨斯州的一家公司MSP(名为TSM Consulting Services),勒索软件户部署了影响德克萨斯州22个城市的勒索软件。
同年早些时候,勒索软件被组织使用ConnectWise ManagedITSync integration(一是 ConnectWise Manage PSA 和 Kaseya VSA RMM 同步数据的实用程序)中的一个旧漏洞会破坏MSP。安全公司Armor Defense一份报告指出,2019年有13份MSP和云服务提供商受到攻击,导致许多市政当局、学区和私营企业系统感染勒索软件。