八家 Cloud MSP 被攻击:1000 家客户受影响
一起大规模的REvil勒索软件攻击据称通过Kaseya供应链攻击 , 影响了多家托管服务提供商(MSP)及其客户 。
文章图片
从7月3日下午开始 , REvil勒索软件团伙(又名Sodinokibi)通过一起KaseyaVSA供应链攻击 , 攻击了多家拥有成千上万客户的MSP 。
目前 , 已知有八家大型MSP因这次供应链攻击而中招 。
KaseyaVSA是一个基于云的MSP平台 , 让提供商们可以为客户执行补丁管理和客户端监控任务 。
HuntressLabs的JohnHammond告诉安全外媒BleepingComputer , 所有受影响的MSP都在使用KaseyaVSA , 有证据表明他们客户的设备也被加密 。
Hammond告诉BleepingComputer:“我们有三个Huntress合作伙伴受到了影响 , 大约200家公司的设备被加密了 。 ”
Kaseya在技术帮助网站上发布了一份安全公告 , 警告所有VSA客户应立即关闭VSA服务器 , 以防攻击在调查过程中蔓延开来 。
“截至今天美国东部时间下午2:00 , 我们遭到了一起针对VSA的潜在攻击 , 攻击仅限于少数本地环境客户 。
我们正在非常谨慎地调查事件的根本原因 , 但我们建议您立即关闭VSA服务器 , 直至您收到我们的进一步通知 。
立即执行此操作至关重要 , 因为攻击者所做的头一件事就是关闭管理员访问VSA的通道 。 ”
Kaseya在发给BleepingComputer的声明中表示 , 它已关闭其SaaS服务器 , 正在与其他安全公司共同调查此事件 。
大多数大规模勒索软件攻击都是在周末夜间进行的 , 这个时段监控网络的人员比较少 。
由于这次攻击发生在周五中午 , 威胁分子可能计划特意选在美国的7月4日周末作案 , 节假日前的工作日时间较短很常见 。
REvil攻击通过自动更新来传播
【八家 Cloud MSP 被攻击:1000 家客户受影响】Huntress的JohnHammond和Sophos的MarkLoman都告诉BleepingComputer , 针对MSP的攻击似乎是通过KaseyaVSA发动的一起供应链攻击得逞的 。
据Hammond声称 , KaseyaVSA会将agent.crt文件放到c:kworking文件夹中 , 该文件作为一个名为“KaseyaVSAAgentHot-fix”的更新来加以分发 。
随后启动PowerShell命令 , 使用正规的Windowscertutil.exe命令对agent.crt文件进行解码 , 并将agent.exe文件提到到同一文件夹中 。
执行REvil勒索软件的PowerShell命令
agent.exe使用来自“PB03TRANSPORTLTD”的证书进行签名 , 包括嵌入的“MsMpEng.exe”和“mpsvc.dll” , 该DLL文件就是REvil加密器 。
文章图片
已签名的agent.exe文件
MsMPEng.exe是正规的MicrosoftDefender可执行文件的旧版本 , 用作LOLBin以启动该DLL文件 , 并通过一个受信任的可执行文件来加密设备 。
文章图片
agent.exe提取并启动嵌入式资源
一些样本向受感染的计算机添加了带有政治意味的Windows注册表键和配置更改 。
比如说 , BleepingComputer安装的样本[VirusTotal]添加了HKLMSOFTWAREWow6432NodeBlackLivesMatter键 , 以存储来自攻击的配置信息 。
AdvancedIntel的VitaliKremez告诉BleepingComputer , 另一个样本将设备配置为使用默认密码“DTrump4ever”来启动REvil安全模式 。
Huntress在Reddit帖子(https://www.reddit.com/r/msp/comments/ocggbv/crticial_ransomware_incident_in_progress/)中继续提供有关这次攻击的更多信息 。
勒索软件团伙索要500万美元赎金
BleepingComputer已看到了其中一起攻击中使用的REvil勒索软件样本 。 然而 , 不知道这是用于每个受害者的样本 , 还是每家MSP都收到了勒索要求 。
- it|浪潮宣布加入 OpenCloudOS 操作系统开源社区
- https|Unraid 篇二:unraid ddns自动解析ip到阿里云/dnspod/cloudflare和freenom免费域名自动续期
- iPhone手机|女子买苹果手机被店员获取iCloud账号:盗取隐私后骚扰女顾客
- 设置|NAS探索 篇四:群辉NAS下载同步百度网盘(百度云)方法一,暨Cloud Sync使用教程
- 苹果|苹果天价神“抹”布收到,这不是你的抹布,请连接iCloud
- 海尔智家|对比完八家网盘之后,我想说还是QQ好用啊
- 智能云|IDC报告:百度智能云AI Cloud市场份额连续五次第一
- html5|UCloud优刻得云手机正式公测
- 社区|开源操作系统社区OpenCloudOS正式成立
- 中国企业|『Google Cloud』陈耿:Google Cloud 加速中国企业出海