REvil 勒索軟件團伙襲擊了 Kaseya 基于云的 MSP 平臺

REvil 勒索軟件運營商最初破壞了 Kaseya VSA 的基礎設施，然后推出了 VSA 內部部署服務器的惡意更新，以在企業網絡上部署勒索軟件。

REvil 勒索軟件運營商最初破壞了 Kaseya VSA 的基礎設施，然后推出了 VSA 內部部署服務器的惡意更新，以在企業網絡上部署勒索軟件。

調查仍在進行中，據安全公司 Huntress Labs 稱，至少有 1000 家組織受到影響，使這次事件成為歷史上最大的勒索軟件攻擊之一。

“我們正在跟蹤美國、澳大利亞、歐盟和拉丁美洲的約 30 個 MSP，其中 Kaseya VSA 被用于加密超過 1,000 家企業，并與其中許多企業合作。所有這些 VSA 服務器都在本地，Huntress 高度自信地評估網絡犯罪分子利用漏洞訪問這些服務器。” 報告獵人實驗室。

在撰寫本文時，作為此次供應鏈攻擊的一部分，至少有 30 個 MSP 遭到入侵，但專家認為，此次攻擊可能影響了全球數千家公司。

在Kaseya 發布的最新更新中，該公司繼續強烈建議本地 Kaseya 合作伙伴將其 VSA 安裝保持離線狀態，直至另行通知。

現在關于這次攻擊的新細節正在出現，荷蘭漏洞披露研究所 (DIVD) 向該公司報告了一個零日漏洞，跟蹤為 CVE-2021-30116] 并影響Kaseya VSA服務器。

Kaseya 在向客戶推出補丁之前對其進行了驗證，但 REvil 勒索軟件運營商利用了大規模供應鏈勒索軟件攻擊中的漏洞。

“在我們這邊，我們想提一下 Kaseya 一直非常合作。一旦 Kaseya 意識到我們報告的漏洞，我們就一直與他們保持聯系和合作。當我們報告中的項目不清楚時，他們會提出正確的問題。此外，我們與我們共享了部分補丁以驗證其有效性。在整個過程中，Kaseya 已經表明他們愿意在這個案例中投入最大的努力和主動性，以解決這個問題并修補他們的客戶。他們表現出了做正確事情的真誠承諾。” 聲明了荷蘭漏洞披露研究所 (DIVD) 提供的更新。“不幸的是，我們在最后的沖刺中被 REvil 擊敗，因為他們甚至可以在客戶修補之前利用這些漏洞。”

DIVD 研究人員證實，在過去 48 小時內，在今天的最后一次掃描中，可從 Internet 訪問的 Kaseya VSA 實例數量已從超過 2.200 個下降到不到 140 個。荷蘭的公開安裝數量已降至零。

在過去的 48 小時內，在我們今天的最后一次掃描中，可從 Internet 訪問的 Kaseya VSA 實例的數量從超過 2.200 個下降到不到 140 個。<https://t.co/mEM4EmCtwJ>
— Victor Gevers (@0xDUDE) 2021 年 7 月 4 日

NCSC負責人Ciaran Martin提供了有關供應鏈勒索軟件攻擊的令人不安的信息，該攻擊破壞了瑞典 20% 的食品零售能力、藥店和火車票銷售。

非凡：對美國公司的勒索軟件攻擊破壞了瑞典 20% 的食品零售能力、藥店、火車票銷售，他們甚至不是直接客戶

非凡：對美國公司的勒索軟件攻擊破壞了瑞典 20% 的食品零售能力、藥店、火車票銷售，而且他們甚至不是直接客戶<https://t.co/ESwEFNqgrW>
- Ciaran Martin (@ciaranmartinoxf) 2021 年 7 月 3 日

如果您對攻擊的技術細節感興趣，我建議您閱讀著名研究員 Kevin Beaumont 的一篇博文，他指出 Kaseya 旨在允許管理具有高級權限的系統。

因此勒索軟件可以將自己推向系統。攻擊者推送了管理代理更新，該更新會自動安裝在所有托管系統上——這意味著影響非常廣泛。此外， Kaseya 建議 在部署此惡意軟件期間使用的某些文件夾中排除防病毒

Kaseya 發布了一種檢測工具，可用于確定您的基礎設施是否已被破壞。

該公司表示：“昨晚向近 900 名要求使用該工具的客戶推出了新的入侵檢測工具。”。