軟件供應商Kaseya 0day引發大規模供應鏈攻擊，預計上千家企業中招

美國東部時間7月2日，勒索組織REvil利用IT軟件供應商Kaseya發起供應鏈攻擊，預計有數千家公司中招。

REvil勒索軟件組織利用零日漏洞攻擊了Kaseya基于云的MSP平臺（管理服務提供商），破壞其VSA基礎設施，然后向VSA內部服務器推送惡意更新，在企業網絡上部署勒索軟件，導致Kaseya的客戶遭供應鏈攻擊。

預計1000家企業受影響

7月3日，美國總統拜登下令情報機構全面調查此次攻擊事件。據安全公司Huntress Labs稱，至少有1000家企業或機構受到影響，這使得這次事件成為歷史上最大的勒索軟件攻擊之一。

Kaseya 發表聲明稱，其事件響應團隊發現VSA軟件可能被入侵。VSA軟件運行在企業服務器、計算機和網絡設備上，屬于外包技術。Kaseya督促使用VSA軟件的客戶立即關閉服務器。

Kaseya首席執行官Fred Voccola在一封電子郵件中向媒體表示，只有不到40家使用VSA軟件的客戶受到該事件影響。但是，這40家客戶大多是管理服務提供商，利用VSA軟件承接了很多其他公司的外包服務。

Fred Voccola稱公司已經確定了漏洞的來源，并準備發布補丁。在此期間，公司會關閉所有內部VSA服務器、SaaS和托管VSA服務器，直到恢復安全運營。

荷蘭漏洞披露研究所（DIVD）披露了這次供應鏈攻擊的細節，研究所向該公司報告了一個被追蹤為CVE-2021-30116的零日漏洞。REvil正是利用該漏洞攻擊Kaseya的VSA服務器。

據Sophos惡意軟件分析師Mark Loman表示，REvil利用Kaseya VSA在受害者的環境中部署勒索軟件的變體，通過偽造的Windows Defender應用程序側加載惡意二進制代碼，加密文件，并向受害者開出500萬美元的贖金。

安全公司Huntress Labs在Reddit上發布了一篇帖子，詳細介紹此次入侵的工作原理，該木馬軟件以Kaseya VSA Agent Hot-fix的形式發布。

Huntress Labs表示，他們正在追蹤來自美國、澳大利亞、歐盟、和拉丁美洲的近30家管理服務提供商。

隨著勒索軟件危機的持續升級，管理服務提供商已經成為一個有利可圖的目標，主要是因為一次成功的入侵可以訪問供應鏈上多家企業，將整條供應鏈的企業置于易受攻擊的風險中。

瑞典連鎖超市中招

勒索組織對美國公司Kaseya的攻擊給瑞典的食品零售業、藥店和火車票銷售企業帶來了20%的損失。有意思的是，這些企業甚至不是Kaseya的直接客戶。

在Kaseya受攻擊后，瑞典最大的連鎖超市品牌Coop確認其一個承包商被勒索軟件攻擊，全國近800家門店的收銀機和自助服務出現故障無法處理付款，導致門店被迫關閉。

Coop的軟件供應商之一 Visma Esscom確認，他們受到了Kaseya事件的影響。7月3日，Coop決定將旗下500多家受嚴重影響的門店暫時關閉運營一天。