由 REvil (Sodikinibi) 网络团伙领导的勒索软件攻击影响了全球 1,500 家企业

revil 勒索软件攻击公司由臭名昭著的 REvil / Sodinikibi网络团伙掌舵的重大勒索软件攻击据称可能袭击了美国多达 200 家企业和全球近 1500 家企业。与俄罗斯有关联的骗子破坏了一个特定的网络管理软件包来传播威胁,这使他们能够接触到无数的云服务提供商。

有问题的软件被称为虚拟系统管理员或 VSA——一种由私人公司 Kaseya 开发和销售的远程监控和管理系统,致力于为全球中小型企业提供高效且具有成本效益的软件解决方案.该恶意软件开始在由 Kaseya 的 VAS 本地包管理的端点上执行勒索软件。因此,该策略的实际规模可能比安全研究人员希望的要重要得多。

利用流行软件产生更大影响

这种级别的勒索软件攻击通常会尝试在众所周知的、广泛使用的软件程序中找到安全漏洞,然后利用这些漏洞将恶意软件植入到供应链中。然而,这是我们观察到的第一次大规模供应链勒索软件攻击。鉴于使用 Kaseya 的 VSA 软件包的大量企业,目前尚不清楚他们的客户中有多少百分比成为攻击的受害者。 Kaseya 的管理层刚刚发布了一份官方通知,敦促客户关闭所有本地 VSA 服务器,以遏制恶意软件的传播。虽然该公司发现的受影响客户不到 60 家,但后者与许多其他公司有业务关系,这使受影响的公司总数估计为 1500 家左右。

7 月 4 日前夕——巧合还是经过深思熟虑的举动?

安全研究人员认为,这次攻击的时间——7 月 2 日星期五——是有意为之,因为大多数业务部门,包括 IT 部门,通常在国定假日之前和期间都减少了人员编制。 Huntress Labs 的 John Hammond 发现了这次攻击,他报告了至少四家受感染的托管服务提供商,每个提供商都为许多其他企业提供 IT 基础设施托管服务。攻击的供应链特征具有巨大的破坏潜力,因为其最终受害者是完全依赖供应商安全的中小型公司。一旦后者遭到破坏,它就会像野火一样在其业务客户中蔓延到更远的链条。

补丁和预防措施(截至美国东部时间 7 月 6 日下午 12:00)

Kaseya 的官员已建议受影响的客户关闭其本地 VSA 服务器,直至另行通知,并避免点击任何与勒索软件相关的 URL,并承诺在使服务器重新上线之前开发一个安全补丁。该公司紧随其后,也将其 VSA SaaS 基础设施下线。虽然 Kaseya 的安全专家希望在美国东部时间今天下午 7:00 之前恢复 SaaS 服务,但他们还计划实施一系列增强的安全措施,以最大程度地降低未来感染的风险。这些措施包括设立:

  • 一个独立的安全运营中心 (SOC) 来监控每台 VSA 服务器
  • 每个 VSA 服务器都有一个附加的内容交付网络 (CDN) 和相应的 Web 应用程序防火墙 (WAF)
  • 一种妥协检测工具,适用于愿意测试其本地 VSA 服务器是否存在任何潜在漏洞的客户
  • 适用于本地 VSA 客户的补丁(已开发,目前正在进行测试和验证)。

如果一切按计划进行,Kaseya 的 VSA 客户将能够在接下来的几个小时内启动并运行他们的服务器。