200家企业遭遇REvil勒索软件的MSP供应链攻击

安全
作为 Kaseya VSA 供应链攻击的一部分,目前已知有 8 个大型的 MSP 遭到了攻击。据悉,Kaseya VSA 是一个基于云的 MSP 平台,允许提供商为客户执行补丁管理和客户端监控任务。

[[409090]]

周四下午开始,REvil 勒索软件团伙(又名 Sodinokibi)似乎又盯上了拥有数千名客户的托管服务提供商(MSPs)。作为 Kaseya VSA 供应链攻击的一部分,目前已知有 8 个大型的 MSP 遭到了攻击。据悉,Kaseya VSA 是一个基于云的 MSP 平台,允许提供商为客户执行补丁管理和客户端监控任务。

Huntress Labs 的 John Hammond 向 BleepingComputer透露,所有受影响的 MSP 都在使用 Kaseya VSA,且他们有证据表明他们的客户也受到了影响,包括 3 个 Huntress 合作伙伴 / 大约 200 家企业。

截止美东时间当天下午 2 点,此类潜在攻击似乎仅限于少数内部部署客户。但 Kaseya 还是在网站上发布了安全公告,警告所有 VSA 客户立即关闭他们的服务器,以防止事态的进一步蔓延。

目前我们正在非常谨慎地调查时间的根本原因,但在收到进一步的通知之前,建议大家立即关闭自家的 VSA 服务器。

该操作至关重要,还请立即执行,因为攻击者做的第一件事,就是关上 VSA 管理访问的大门。

执行 REvil 勒索软件的 PowerShell 命令(图 via Reddit)

在致 BleepingComputer 的一份声明中,Kaseya 表示他们已经关闭了自家的 SaaS 服务器,并且正在与其它安全公司合作调查这一事件。

此外大多数勒索软件加密攻击都选在了周末的深夜进行,因为那时负责网络监控的人手最少。鉴于本次攻击发生在周五中午,攻击者很可能瞄准这周末发起更大范围的行动。

agent.exe 可执行文件的签名

John Hammond 与 Sophos 的 Mark Loman 都向 BleepingComputer 透露,针对 MSP 的攻击,似乎是通过 Kaseya VSA 发起的供应链攻击。

前者称,Kaseya VSA 会将 agent.crt 文件放到 c:\kworking 文件夹中,并作为“Kaseya VSA Agent Hot-fix”更新来分发。

然后借助合法的 Windowscertutil.exe 这个 PowerShell 命令对 agent.crt 文件进行解码,并将 agent.exe 文件提取到同一文件夹中。

agent.exe 使用了来自“PB03 TRANSPORT LTD”的签名证书,辅以嵌入的“MsMpEng.exe”和“mpsvc.dll”(后面这个动态链接库文件又被 REvil 勒索软件的加密器所使用)。

agent.exe 提取并启动的嵌入式资源代码

MsMPEng.exe 是合法的 Microsoft Defender 可执行文件的旧版本,它被当做 LOLBin 以调用动态链接库(DLL)文件,并通过受信任的可执行文件进行加密。

此外一些样本还向受感染的计算机注入了带有政治色彩的 Windows 注册表项及配置更改,比如 BleepingComputer 就在 [VirusTotal] 样本中看到了 BlackLivesMatter 密钥被用于存储来自攻击者的配置信息。

若不幸中招,勒索软件团伙会向受害者索取 500 万美元的赎金,以获得针对其中一个样本的解密器。

而且通常 REvil 会在部署文件加密型勒索软件前窃取受害者的数据,但目前尚不清楚本次攻击有泄露哪些文件。

 

责任编辑:赵宁宁 来源: 今日头条
相关推荐

2021-07-05 18:50:22

供应链攻击勒索软件漏洞

2021-07-06 13:55:32

REvil勒索软件漏洞

2021-01-06 19:07:26

网络安全供应链攻击黑客

2022-03-28 11:47:12

勒索软件攻击网络袭击利司通

2023-04-24 20:47:08

2024-03-07 16:35:29

2021-09-16 14:59:18

供应链攻击漏洞网络攻击

2022-04-13 14:49:59

安全供应链Go

2023-02-23 07:52:20

2022-03-18 15:19:20

勒索软件供应链网络安全

2021-06-07 11:06:09

网络攻击JBS网络安全

2021-09-16 09:39:36

勒索软件供应链网络攻击黑客

2022-11-03 11:15:19

2023-11-09 07:59:57

2021-06-07 10:10:30

供应链攻击软件Codecov攻击

2023-11-03 15:35:59

2022-08-12 10:45:00

勒索软件思科

2021-09-14 14:39:01

Black Matte勒索软件攻击

2021-08-24 14:59:10

勒索软件加密攻击

2021-04-25 15:49:06

拜登黑客攻击
点赞
收藏

51CTO技术栈公众号