八家 Cloud MSP 被攻击：1000 家客户受影响一起大规模的REvil勒索软件攻击

一起大规模的REvil勒索软件攻击据称通过Kaseya供应链攻击，影响了多家托管服务提供商（MSP）及其客户。

文章图片
从7月3日下午开始， REvil勒索软件团伙（又名Sodinokibi）通过一起KaseyaVSA供应链攻击，攻击了多家拥有成千上万客户的MSP 。
目前，已知有八家大型MSP因这次供应链攻击而中招。
KaseyaVSA是一个基于云的MSP平台，让提供商们可以为客户执行补丁管理和客户端监控任务。
HuntressLabs的JohnHammond告诉安全外媒BleepingComputer ，所有受影响的MSP都在使用KaseyaVSA ，有证据表明他们客户的设备也被加密。
Hammond告诉BleepingComputer：“我们有三个Huntress合作伙伴受到了影响，大约200家公司的设备被加密了。 ”
Kaseya在技术帮助网站上发布了一份安全公告，警告所有VSA客户应立即关闭VSA服务器，以防攻击在调查过程中蔓延开来。
“截至今天美国东部时间下午2:00 ，我们遭到了一起针对VSA的潜在攻击，攻击仅限于少数本地环境客户。
我们正在非常谨慎地调查事件的根本原因，但我们建议您立即关闭VSA服务器，直至您收到我们的进一步通知。
立即执行此操作至关重要，因为攻击者所做的头一件事就是关闭管理员访问VSA的通道。 ”
Kaseya在发给BleepingComputer的声明中表示，它已关闭其SaaS服务器，正在与其他安全公司共同调查此事件。
大多数大规模勒索软件攻击都是在周末夜间进行的，这个时段监控网络的人员比较少。
由于这次攻击发生在周五中午，威胁分子可能计划特意选在美国的7月4日周末作案，节假日前的工作日时间较短很常见。
REvil攻击通过自动更新来传播
【八家 Cloud MSP 被攻击：1000 家客户受影响】Huntress的JohnHammond和Sophos的MarkLoman都告诉BleepingComputer ，针对MSP的攻击似乎是通过KaseyaVSA发动的一起供应链攻击得逞的。
据Hammond声称， KaseyaVSA会将agent.crt文件放到c:kworking文件夹中，该文件作为一个名为“KaseyaVSAAgentHot-fix”的更新来加以分发。
随后启动PowerShell命令，使用正规的Windowscertutil.exe命令对agent.crt文件进行解码，并将agent.exe文件提到到同一文件夹中。
执行REvil勒索软件的PowerShell命令
agent.exe使用来自“PB03TRANSPORTLTD”的证书进行签名，包括嵌入的“MsMpEng.exe”和“mpsvc.dll” ，该DLL文件就是REvil加密器。

文章图片
已签名的agent.exe文件
MsMPEng.exe是正规的MicrosoftDefender可执行文件的旧版本，用作LOLBin以启动该DLL文件，并通过一个受信任的可执行文件来加密设备。

文章图片
agent.exe提取并启动嵌入式资源
一些样本向受感染的计算机添加了带有政治意味的Windows注册表键和配置更改。
比如说， BleepingComputer安装的样本[VirusTotal]添加了HKLMSOFTWAREWow6432NodeBlackLivesMatter键，以存储来自攻击的配置信息。
AdvancedIntel的VitaliKremez告诉BleepingComputer ，另一个样本将设备配置为使用默认密码“DTrump4ever”来启动REvil安全模式。
Huntress在Reddit帖子（https://www.reddit.com/r/msp/comments/ocggbv/crticial_ransomware_incident_in_progress/）中继续提供有关这次攻击的更多信息。
勒索软件团伙索要500万美元赎金
BleepingComputer已看到了其中一起攻击中使用的REvil勒索软件样本。然而，不知道这是用于每个受害者的样本，还是每家MSP都收到了勒索要求。