东部时间7月2日,勒索组织REvil利用IT软件供应商Kaseya预计数千家公司将发起供应链攻击。
REvil勒索软件组织利用零日漏洞攻击Kaseya基于云的MSP破坏平台(管理服务提供商)VSA然后是基础设施VSA内部服务器推送恶意更新,在企业网络上部署勒索软件Kaseya供应链攻击客户。
预计1000家企业将受到影响
71月3日,美国总统拜登下令情报机构对此次袭击进行全面调查。根据安全公司Huntress Labs至少有1000家企业或机构受到影响,这使得这一事件成为历史上最大的勒索软件攻击之一。
Kaseya 发表声明称,事件响应团队发现VSA软件可能被入侵。VSA企业服务器、计算机和网络设备上的软件运行,属于外包技术。Kaseya督促使用VSA软件客户立即关闭服务器。
Kaseya首席执行官Fred Voccola在一封电子邮件中,我告诉媒体,只有不到40人使用它VSA该软件的客户受到该事件的影响。然而,这40个客户大多是管理服务提供商VSA该软件承担了许多其他公司的外包服务。
Fred Voccola据说公司已经确定了漏洞的来源,并准备发布补丁。在此期间,公司将关闭所有内部VSA服务器、SaaS和托管VSA在恢复安全运行之前,服务器。
荷兰漏洞披露研究所(DIVD)该研究所披露了供应链攻击的细节,并向该公司报告了被追踪的细节CVE-2021-30116零日漏洞。REvil利用漏洞攻击Kaseya的VSA服务器。
据Sophos恶意软件分析师Mark Loman表示,REvil利用Kaseya VSA勒索软件的变体部署在受害者的环境中,通过伪造Windows Defender在应用程序侧加载恶意二进制代码,加密文件,并向受害者赎金500万美元。
安全公司Huntress Labs在Reddit上面发布了一篇文章,详细介绍了入侵的工作原理,木马软件使用Kaseya VSA Agent Hot-fix的形式发布。
Huntress Labs他们正在追踪来自美国、澳大利亚、欧盟和拉丁美洲的近30家管理服务提供商。
随着勒索软件危机的不断升级,管理服务提供商已经成为一个盈利的目标,主要是因为成功的入侵可以访问供应链中的许多企业,并将整个供应链中的企业置于易受攻击的风险之中。
瑞典连锁超市中招
对美国公司的勒索组织Kaseya攻击给瑞典食品零售、药店和火车票销售企业带来了20%的损失。有趣的是,这些公司甚至不是Kaseya直接客户。
在Kaseya瑞典最大的连锁超市品牌受到攻击后Coop确认承包商被勒索软件攻击,近800家门店的收银机和自助服务出现故障,无法处理付款,导致门店被迫关闭。
Coop 是软件供应商之一Visma Esscom他们被确认了Kaseya事件的影响。7月3日,Coop决定暂时关闭其500多家受严重影响的门店一天。