八家 Cloud MSP 被攻击:1000 家客户受影响

一起大规模的REvil勒索软件攻击据称通过Kaseya供应链攻击 , 影响了多家托管服务提供商(MSP)及其客户 。
八家 Cloud MSP 被攻击:1000 家客户受影响
文章图片
从7月3日下午开始 , REvil勒索软件团伙(又名Sodinokibi)通过一起KaseyaVSA供应链攻击 , 攻击了多家拥有成千上万客户的MSP 。
目前 , 已知有八家大型MSP因这次供应链攻击而中招 。
KaseyaVSA是一个基于云的MSP平台 , 让提供商们可以为客户执行补丁管理和客户端监控任务 。
HuntressLabs的JohnHammond告诉安全外媒BleepingComputer , 所有受影响的MSP都在使用KaseyaVSA , 有证据表明他们客户的设备也被加密 。
Hammond告诉BleepingComputer:“我们有三个Huntress合作伙伴受到了影响 , 大约200家公司的设备被加密了 。 ”
Kaseya在技术帮助网站上发布了一份安全公告 , 警告所有VSA客户应立即关闭VSA服务器 , 以防攻击在调查过程中蔓延开来 。
“截至今天美国东部时间下午2:00 , 我们遭到了一起针对VSA的潜在攻击 , 攻击仅限于少数本地环境客户 。
我们正在非常谨慎地调查事件的根本原因 , 但我们建议您立即关闭VSA服务器 , 直至您收到我们的进一步通知 。
立即执行此操作至关重要 , 因为攻击者所做的头一件事就是关闭管理员访问VSA的通道 。 ”
Kaseya在发给BleepingComputer的声明中表示 , 它已关闭其SaaS服务器 , 正在与其他安全公司共同调查此事件 。
大多数大规模勒索软件攻击都是在周末夜间进行的 , 这个时段监控网络的人员比较少 。
由于这次攻击发生在周五中午 , 威胁分子可能计划特意选在美国的7月4日周末作案 , 节假日前的工作日时间较短很常见 。
REvil攻击通过自动更新来传播
八家 Cloud MSP 被攻击:1000 家客户受影响】Huntress的JohnHammond和Sophos的MarkLoman都告诉BleepingComputer , 针对MSP的攻击似乎是通过KaseyaVSA发动的一起供应链攻击得逞的 。
据Hammond声称 , KaseyaVSA会将agent.crt文件放到c:kworking文件夹中 , 该文件作为一个名为“KaseyaVSAAgentHot-fix”的更新来加以分发 。
随后启动PowerShell命令 , 使用正规的Windowscertutil.exe命令对agent.crt文件进行解码 , 并将agent.exe文件提到到同一文件夹中 。
执行REvil勒索软件的PowerShell命令
agent.exe使用来自“PB03TRANSPORTLTD”的证书进行签名 , 包括嵌入的“MsMpEng.exe”和“mpsvc.dll” , 该DLL文件就是REvil加密器 。
八家 Cloud MSP 被攻击:1000 家客户受影响
文章图片
已签名的agent.exe文件
MsMPEng.exe是正规的MicrosoftDefender可执行文件的旧版本 , 用作LOLBin以启动该DLL文件 , 并通过一个受信任的可执行文件来加密设备 。
八家 Cloud MSP 被攻击:1000 家客户受影响
文章图片
agent.exe提取并启动嵌入式资源
一些样本向受感染的计算机添加了带有政治意味的Windows注册表键和配置更改 。
比如说 , BleepingComputer安装的样本[VirusTotal]添加了HKLMSOFTWAREWow6432NodeBlackLivesMatter键 , 以存储来自攻击的配置信息 。
AdvancedIntel的VitaliKremez告诉BleepingComputer , 另一个样本将设备配置为使用默认密码“DTrump4ever”来启动REvil安全模式 。
Huntress在Reddit帖子(https://www.reddit.com/r/msp/comments/ocggbv/crticial_ransomware_incident_in_progress/)中继续提供有关这次攻击的更多信息 。
勒索软件团伙索要500万美元赎金
BleepingComputer已看到了其中一起攻击中使用的REvil勒索软件样本 。 然而 , 不知道这是用于每个受害者的样本 , 还是每家MSP都收到了勒索要求 。