最新的网络安全新闻与俄罗斯入侵乌克兰有关
网络犯罪和暗网研究 / Kaseya勒索软件供应链攻击:目前为止美高梅集团app下载所知道的

Kaseya勒索软件供应链攻击:目前为止美高梅集团app下载所知道的

Kaseya勒索软件供应链攻击:目前为止美高梅集团app下载所知道的
斯特凡诺德布拉西
斯特凡诺德布拉西报道
2021年7月5日 | 7 分钟阅读

2021年7月2日, 针对Kaseya VSA的复杂供应链攻击的细节开始浮出水面, 虚拟系统管理员软件,用于管理和监控客户的基础设施. 研究人员最初将这次攻击归咎于勒索软件团伙“REvil”(又名Sodinokibi)。, 谁的成员在他们的暗网数据泄露网站的新闻稿中声称对此负责, 快乐的博客.

Kaseya VSA通常被美国和英国的管理服务提供商(MSPs)用来帮助他们管理客户的系统. 像这样, 该产品还使勒索软件运营商获得访问数千个MSPs客户设备的特权, 因为IT监控软件通常需要高度的信任.

在撰写本文时, 受此勒索软件供应链攻击影响的公司数量尚不清楚. Kaseya的首席执行官弗雷德·Voccola 声称 2021年7月3日,“全球不到40个”客户受到影响. 然而, 组织的数量可能会成倍增加, 因为妥协的MSPs会, 反过来, 也影响客户的系统. 辱骂者在他们的新闻稿中声称,有超过100万的受害者被“感染”,但这需要持怀疑态度.

美高梅集团app下载正在密切关注与此次活动相关的发展情况,并将在新细节出现时提供最新消息. 现在, 美高梅集团app下载决定公布美高梅集团app下载目前所知道的情况, 回顾一下和索迪诺基比岛的联系, 并强调在这一事件还未结束时应该采取的一些措施. 

这场运动是如何展开的?

REvil运营商进行了一次复杂的供应链攻击,利用恶意Kaseya VSA产品更新, 在这家美国IT巨头的客户中散布勒索软件. 让美高梅集团app下载来看看这场运动是如何展开的.

首次访问

首次访问

多个报告指出,REvil似乎使用了一个零日漏洞来远程访问内部VSA服务器. 很明显,来自美国的安全研究人员已经向Kaseya透露了这个漏洞 荷兰漏洞披露研究所 (DIVD) and was in the process of being fixed; however, REvil的子公司速度更快,并将其武侠化,以攻破多个Kaseya客户. 

该漏洞的技术细节仍然未知. 然而, REvil的操作人员有能力掌握这一未公开的漏洞,这充分说明了这个勒索软件集团越来越复杂. The exploitation of zero-day vulnerabilities was once seen as exclusive to highly capable state-sponsored advanced persistent threat (APT) groups; these days, 勒索软件团伙的专业化和可利用的巨大资源极大地扩大了他们的破坏潜力.

执行

执行

REvil勒索软件通过Kaseya VSA进行恶意更新. 该更新将自动在Kaseya的MSPs及其客户的系统中推出, 伪装成管理代理更新. 

横向运动

横向运动

与绝大多数IT管理和监控产品一样, Kaseya拥有用户网络和系统的高级管理员权限. 虽然这是这类产品的标准设置, 这意味着入侵Kaseya VSA的攻击者现在拥有相同的特权, 可以自由繁殖. 

影响

影响

REvil和其他勒索软件组织有经济动机. 因此, 对他们来说,加密被破坏的网络并要求赎金来恢复这些网络是有道理的. This ransomware supply-chain attack’s main targets were the MSPs and not their 客户s; the initial ransom demanded from the MSPs was set at USD 5 million each; the 客户s of the MSPs faced a lower demand, 44美元,999.

攻击者和受害者之间的通信表明,REvil附属公司没有尊重这些最初的要求. 根据对应关系, 子公司的要求在40美元之间,000及45美元,每个加密文件扩展名000. 受害者组织声称他们有十几个加密的文件扩展名, 袭击者索要500美元,破解整个网络.

在其他通信, 攻击者声称,除了加密网络之外,他们没有执行任何操作. 这表明他们并没有窃取受害者的档案, 勒索软件攻击的典型行动步骤是什么 双勒索法 (攻击者窃取文件,并将其发布在专门的数据泄露网站上,以迫使受害者支付赎金).

此外,REvil还提供了价值7000万美元的通用解密工具. 据称,这种通用解密工具将允许所有受害者在一小时内重新访问他们的系统. 实际上,袭击者可能是在利用受害者的恐慌情绪, 其中包括受影响的MSPs的客户, 让他们为通用解密工具筹集资金.

REvil赎金
REvil勒索软件感染通知(来源: 推特)

有趣的是, 正如你可以从上面的截图中看到的那样, REvil一直要求用Monero (XMR)而不是比特币(BTC)支付赎金。. 正如美高梅集团app下载在博客中讨论的 2021年要警惕加密货币攻击, 网络罪犯正越来越多地转向关注隐私的加密货币, 如Monero, 为他们的业务. 最近几个月,勒索软件组织很可能已经注意到执法部门能够定位并没收比特币钱包的趋势 殖民管道袭击的后果),并开始尽可能远离比特币.

这次袭击的幕后黑手是谁?

在最初未经确认的归因到REvil(又名Sodinokibi)之后, Sodin)操作符, 他们在其数据泄露网站的新闻稿中证实了此次攻击的幕后黑手. REvil是一种勒索软件,于2019年4月首次被发现. 从那时起, 该勒索软件已被广泛应用于针对世界各地的组织和行业的活动中. 与其他知名勒索软件组织的做法类似, 谩骂者经常采用流行的方法,从他们的目标那里窃取敏感数据,并威胁要在他们的暗网站上公布这些数据,以增加受害者的压力. 

REvil门户
美高梅集团app下载的探照灯™REvil(又名Sodinokibi)威胁配置文件的视图

REvil的运作方式是 Ransomware-as-a-Service (老城)犯罪行动. REvil附属公司过去曾被观察到使用各种方法来伤害受害者. 还有网络钓鱼和广告, REvil经常利用软件漏洞来传播和损害受害者. 

这次勒索软件供应链攻击不是REvil第一次针对MSPs. 回到2019年6月, REvil used remote management tools to deploy ransomware on MSPs’ 客户s’ systems; this indicates that the event observed over the past weekend was a tried-and-tested operation, 而不是临时. 攻击者故意选择7月4日的周末袭击Kaseya VSA,这一事实证实了这一评估, 他们把活动的时间安排在美国独立日假期,希望在几乎没有安全专业人员在他们(家庭)办公室应对威胁的时候制造最大的混乱.

有用的资源

正如美高梅集团app下载之前提到的, 美高梅集团app下载将继续更新这个博客,以反映有关这项运动的最新细节. 同时,美高梅集团app下载整理了一份有用的资源清单:

  • Kaseya更新页面:hxxps://helpdesk.kaseya [.] com/hc/en gb/articles/4403440684689 -重要的注意——7月4日- 2021 
  • Kaseya REvil GitHub配置转储:hxxps://gist.github (.] com/fwosar/a63e1249bfccb8395b961d3d780c0354
  • Reddit线程:hxxps: / / www.reddit [.] com/r/msp/comments/ocggbv/crticial_ransomware_incident_in_progress/ 

影子搜索™的建议

如果你是美高梅集团app下载客户端, 美高梅集团app下载整合了一个影子搜索查询列表,你可以使用它们来保持对出现的细节的关注:

指标查询:  

type=[indicator feeds] AND " kaseya "

Kaseya信息查询通过威胁英特尔馈送: 

(type=[blog posts] OR type=[intelligence incidents]) AND " kaseya " AND date=[now-7d TO now]

威胁执行者斥责特定查询: 

(" revil " OR " sodinokibi ") AND (type=[博客 posts] OR type=[情报])

查询论坛、聊天和市场上的讨论: 

(“kaseya”或“sodinokibi”或“revil”)和(类型=[论坛帖子]或类型=[聊天信息]或类型=[市场列表])

相关漏洞查询: 

(“kaseya”或“sodinokibi”或“revil”)和(类型=[漏洞 & )日期=[现在- 6m到现在]

在试驾中访问美高梅集团app下载的威胁情报

试驾探照灯免费 7
现在试一试

与美高梅集团app下载联系

友情链接: 1 2 3 4 5 6 7 8 9 10