从周四下午开始,REvil Sodinokibi)它似乎专注于拥有数千名客户的托管服务提供商(MSPs)。作为 Kaseya VSA 目前已知 8 大型 MSP 被攻击。Kaseya VSA 是基于云的 MSP 平台允许提供商为客户执行补丁管理和客户监控任务。
Huntress Labs 的 John Hammond 向 BleepingComputer透露,所有受影响的 MSP 都在用Kaseya VSA,他们有证据表明他们的客户也受到了影响,包括 3 Huntress 合作伙伴 / 约200家 企业。
截至美东时间下午 2 点,这种潜在攻击似乎仅限于少数内部部署客户。Kaseya 仍在网站上发布安全公告,警告所有 VSA 客户立即关闭他们的服务器,以防止事情进一步蔓延。
目前,我们正在仔细调查时间的根本原因,但在收到进一步通知之前,建议您立即关闭 VSA 服务器。
操作非常重要,请立即执行,因为攻击者做的第一件事就是关闭 VSA 管理访问门。
执行 REvil 勒索软件的 PowerShell 命令(图 via Reddit)
在致 BleepingComputer 在一份声明中,Kaseya 说他们已经关闭了自己的 SaaS 服务器正在与其他安全公司合作调查此事件。
此外,大多数勒索软件的加密攻击都是在周末的深夜进行的,因为当时负责网络监控的人数最少。鉴于攻击发生在周五中午,攻击者很可能会在周末开始更广泛的行动。
agent.exe 签署可执行文件
John Hammond 与 Sophos 的 Mark Loman 都向 BleepingComputer 透露,针对 MSP 的攻击似乎是通过 Kaseya VSA 供应链攻击。
前者称,Kaseya VSA 会将 agent.crt 文件放在 c:\kworking 文件夹,并作为“Kaseya VSA Agent Hot-fix”更新分发。
然后借助合法 Windowscertutil.exe 这个 PowerShell 命令对 agent.crt解码 文件, agent.exe 文件提取到同一文件夹中。
agent.exe 来自使用“PB03 TRANSPORT LTD”的签名证书,辅以嵌入的“MsMpEng.exe”和“mpsvc.dll”(后面的动态链接库文件又被 REvil 用于勒索软件的加密器)。
agent.exe 提取并启动的嵌入式资源代码
MsMPEng.exe 是合法的 Microsoft Defender 可执行文件的旧版本被用作 LOLBin 调用动态链接库(DLL)通过可信可执行文件加密文件。
此外,一些样本还向感染的计算机注入了政治色彩 Windows 注册表项及配置变更,如 BleepingComputer 就在 [VirusTotal] 在样本中看到BlackLivesMatter 密钥用于存储攻击者的配置信息。
不幸的是,勒索软件团伙将向受害者索要500万美元的赎金,以获得其中一个样本的解密器。
而且通常 REvil 在部署文件加密勒索软件之前,会窃取受害者的数据,但目前还不清楚攻击中泄露了哪些文件。