由 REvil (Sodikinibi) 網絡團伙領導的勒索軟件攻擊影響了全球 1,500 家企業

revil 勒索軟件攻擊公司由臭名昭著的 REvil / Sodinikibi網絡團伙掌舵的重大勒索軟件攻擊據稱可能襲擊了美國多達 200 家企業和全球近 1500 家企業。與俄羅斯有關聯的騙子破壞了一個特定的網絡管理軟件包來傳播威脅,這使他們能夠接觸到無數的雲服務提供商。

有問題的軟件被稱為虛擬系統管理員或 VSA——一種由私人公司 Kaseya 開發和銷售的遠程監控和管理系統,致力於為全球中小型企業提供高效且具有成本效益的軟件解決方案.該惡意軟件開始在由 Kaseya 的 VAS 本地包管理的端點上執行勒索軟件。因此,該策略的實際規模可能比安全研究人員希望的要重要得多。

利用流行軟件產生更大影響

這種級別的勒索軟件攻擊通常會嘗試在眾所周知的、廣泛使用的軟件程序中找到安全漏洞,然後利用這些漏洞將惡意軟件植入到供應鏈中。然而,這是我們觀察到的第一次大規模供應鏈勒索軟件攻擊。鑑於使用 Kaseya 的 VSA 軟件包的大量企業,目前尚不清楚他們的客戶中有多少百分比成為攻擊的受害者。 Kaseya 的管理層剛剛發布了一份官方通知,敦促客戶關閉所有本地 VSA 服務器,以遏制惡意軟件的傳播。雖然該公司發現的受影響客戶不到 60 家,但後者與許多其他公司有業務關係,這使受影響的公司總數估計為 1500 家左右。

7 月 4 日前夕——巧合還是經過深思熟慮的舉動?

安全研究人員認為,這次攻擊的時間——7 月 2 日星期五——是有意為之,因為大多數業務部門,包括 IT 部門,通常在國定假日之前和期間都減少了人員編制。 Huntress Labs 的 John Hammond 發現了這次攻擊,他報告了至少四家受感染的託管服務提供商,每個提供商都為許多其他企業提供 IT 基礎設施託管服務。攻擊的供應鏈特徵具有巨大的破壞潛力,因為其最終受害者是完全依賴供應商安全的中小型公司。一旦後者遭到破壞,它就會像野火一樣在其業務客戶中蔓延到更下游的鏈中。

補丁和預防措施(截至美國東部時間 7 月 6 日下午 12:00)

Kaseya 的官員已建議受影響的客戶關閉其本地 VSA 服務器,直至另行通知,並避免點擊任何與勒索軟件相關的 URL,並承諾在使服務器重新上線之前開發一個安全補丁。該公司緊隨其後,也將其 VSA SaaS 基礎設施下線。雖然 Kaseya 的安全專家希望在美國東部時間今天下午 7:00 之前恢復 SaaS 服務,但他們還計劃實施一系列增強的安全措施,以最大程度地降低未來感染的風險。這些措施包括設立:

  • 一個獨立的安全運營中心 (SOC) 來監控每台 VSA 服務器
  • 每個 VSA 服務器都有一個附加的內容交付網絡 (CDN) 和相應的 Web 應用程序防火牆 (WAF)
  • 一種妥協檢測工具,適用於願意測試其本地 VSA 服務器是否存在任何潛在漏洞的客戶
  • 適用於本地 VSA 客戶的補丁(已開發,目前正在進行測試和驗證)。

如果一切按計劃進行,Kaseya 的 VSA 客戶將能夠在接下來的幾個小時內啟動並運行他們的服務器。