Kaseya供应链攻击使用REvil勒索软件攻击近40家服务提供商

臭名昭著的 REvil 网络犯罪行动背后的威胁参与者似乎通过更新 Kaseya 的 IT 管理软件来推动勒索软件，在全球范围内影响了大约 40 家客户，这是一个广泛的供应链勒索软件攻击的实例。

“从 2021 年 7 月 2 日星期五中午（美国东部标准时间）开始，Kaseya 的事件响应团队了解到涉及我们的 VSA 软件的潜在安全事件，”该公司首席执行官 Fred Voccola在周五晚些时候分享的一份声明中说。

事件发生后，这家 IT 和安全管理服务公司表示，除了通知其本地客户关闭其 VSA 服务器以防止他们受到损害外，它还立即采取措施关闭其 SaaS 服务器作为预防措施。

Voccola 还表示，该公司已经确定了漏洞的来源，并且正在准备一个补丁来缓解持续存在的问题。在此期间，该公司还指出，它打算关闭所有内部部署的 VSA 服务器、SaaS 和托管 VSA 服务器，直到可以安全地恢复运营。

根据 Sophos 恶意软件分析师 Mark Loman 的说法，整个行业的供应链攻击利用Kaseya VSA 将REvil 勒索软件的变种部署到受害者的环境中，恶意二进制文件通过虚假的 Windows Defender 应用程序侧载以加密文件作为回报索要 500 万美元的赎金。

Loman 补充说，攻击链还涉及尝试通过 PowerShell 禁用 Microsoft Defender 实时监控。Huntress Labs 在Reddit 上的一篇详细介绍漏洞工作原理的帖子中说，被木马化的软件以“Kaseya VSA Agent Hot-fix”的形式分发。

研究人员指出，他们发现了 8 家托管服务提供商 (MSP)，即向其他公司提供 IT 服务的公司，它们受到了攻击。Huntress Labs 表示，由这些 MSP 服务的大约 200 家企业已被锁定在其部分网络之外。

随着勒索软件危机的持续蔓延，MSP 已成为一个有利可图的目标，主要是因为成功的入侵打开了对多个客户端的访问，使它们都变得脆弱。随着SolarWinds 活动的蔓延，供应链攻击变得频繁，针对 MSP 分发勒索软件的供应链攻击会产生指数级的后果，使不法分子能够同时攻击数百名受害者。

更新：在周六分享的修订后的公告中，Kaseya 表示它是“复杂网络攻击的受害者”，同时警告客户不要点击与勒索软件运营商通信时发送的任何链接。“他们可能被武器化了，”该公司警告说。

除了联系网络安全公司 FireEye Mandiant 来确定入侵指标 (IoC) 外，该公司还建议企业将所有本地 VSA 服务器保持离线状态，直至另行通知，并使用其提供的入侵检测工具来开始恢复过程.

Huntress Labs 表示，它正在跟踪美国、澳大利亚、欧盟、欧盟和拉丁美洲的近 30 个 MSP，其中 Kaseya VSA 被用于加密不到 1,000 家新企业。

“所有这些 VSA 服务器都在本地，并且 Huntress 非常有信心地评估网络犯罪分子利用漏洞访问这些服务器，” Huntress Labs 研究员 John Hammond说。

这增加了 REvil 使用 Kaseya VSA 软件中的零日漏洞来访问系统的可能性，这是勒索软件组织首次在攻击中使用零日漏洞。就 Kaseya 而言，它指出它已经隔离并复制了攻击向量，并且正在努力添加软件补救措施以解决安全漏洞。