REvil在Kaseya勒索软件攻击中使用了0day,索要7000万美元的赎金

周五,在大规模供应链勒索软件攻击引发感染链危及数千家企业的过程中,有关臭名昭著的与俄罗斯有关联的 REvil 网络犯罪团伙如何实施前所未有的黑客攻击的新细节浮出水面。

荷兰漏洞披露研究所 (DIVD) 周日透露,它已提醒 Kaseya,其 VSA 软件 (CVE-2021-30116) 中存在多个零日漏洞,据称这些漏洞正被用作部署勒索软件的渠道。这家非营利实体表示,当 7 月 2 日袭击发生时,作为协调漏洞披露的一部分,该公司正在解决这些问题。

没有分享关于这些缺陷的更多细节,但 DIVD 主席 Victor Gevers暗示零日漏洞很容易被利用。据 ESET 称,据说至少有 1,000 家企业受到袭击影响,在不少于 17 个国家/地区确定了受害者,包括英国、南非、加拿大、阿根廷、墨西哥、印度尼西亚、新西兰和肯尼亚。

Kaseya VSA是一种面向托管服务提供商 (MSP) 的基于云的 IT 管理和远程监控解决方案,它提供了一个集中式控制台来监控和管理端点、自动化 IT 流程、部署安全补丁以及通过双因素身份验证控制访问。

Revil索要7000万美元的赎金

REvil(又名 Sodinokibi)自 2019 年 4 月开始活跃,最出名的是上个月初从肉类加工商 JBS勒索 1100 万美元,其中勒索软件即服务业务约占公共和私营部门攻击的 4.6% 2021 年第一季度。

REvil在Kaseya勒索软件攻击中使用了0day,索要7000万美元的赎金

该组织现在要求支付创纪录的 7000 万美元赎金,以发布一种通用解密器,该解密器可以解锁所有被文件加密勒索软件瘫痪的系统。

“周五(2021 年 7 月 2 日),我们对 MSP 提供商发起了攻击。超过一百万个系统被感染。如果有人想就通用解密器进行谈判——我们的价格是 70,000,000 美元的 BTC,我们将公开解密文件的解密器所有受害者,所以每个人都可以在不到一个小时的时间内从攻击中恢复过来,”REvil 组织在他们的暗网数据泄露网站上发布。

REvil在Kaseya勒索软件攻击中使用了0day,索要7000万美元的赎金

Kaseya 已在 FireEye 的帮助下帮助调查该事件,并表示打算“从我们的欧盟、英国和亚太地区数据开始,将我们的 SaaS 数据中心一一重新上线。其次是我们的北美数据中心。”

该公司指出,本地 VSA 服务器将需要在重新启动之前安装补丁,并补充说它正在准备在 7 月 5 日发布修复程序。

CISA问题咨询

这一发展促使美国网络安全和基础设施安全局 (CISA)发布公告,敦促客户下载Kaseya 提供的入侵检测工具,用于识别任何入侵指标 (IoC)、启用多因素身份验证、限制通信具有对已知 IP 地址对的远程监控和管理 (RMM) 功能,并将 RMM 的管理接口置于虚拟专用网络 (VPN) 或专用管理网络上的防火墙之后。

Secureworks 的首席威胁情报官 Barry Hensley 通过电子邮件告诉黑客新闻:“我们的客户群中似乎只有不到 10 个组织受到了影响,而且影响似乎仅限于运行 Kaseya 软件的系统。”

“我们还没有看到威胁行为者试图横向移动或通过受损网络传播勒索软件的证据。这意味着拥有广泛 Kaseya VSA 部署的组织可能比仅在一两台服务器上运行它的组织受到更大的影响。 ”

通过妥协软件供应商以瞄准 MSP,而 MSP 反过来为其他中小型企业提供基础设施或以设备为中心的维护和支持,这一发展再次强调了保护软件供应链的重要性,同时也强调了敌对代理的重要性通过结合供应链攻击和勒索软件的双重威胁,同时攻击数百名受害者,继续推进他们的财务动机。

Acronis 首席信息安全官 Kevin Reed 表示:“MSP 是高价值目标——它们具有很大的攻击面,使它们成为网络犯罪分子的重要目标。” “一个 MSP 可以管理数十到一百家公司的 IT:犯罪分子只需破解一个 MSP 即可访问所有公司,而不是危及 100 家不同的公司。”