勒索組織REvil發(fā)起供應鏈攻擊，預計上千家企業(yè)中

美國東部時(shí)間7月2日，勒索組織REvil利用IT軟件供應商Kaseya發(fā)起供應鏈攻擊，預計有數千家公司中招。

REvil勒索軟件組織利用零日漏洞攻擊了Kaseya基于云的MSP平臺(管理服務(wù)提供商)，破壞其VSA基礎設施，然后向VSA內部服務(wù)器推送惡意更新，在企業(yè)網(wǎng)絡(luò )上部署勒索軟件，導致Kaseya的客戶(hù)遭供應鏈攻擊。

預計1000家企業(yè)受影響

7月3日，美國總統拜登下令情報機構全面調查此次攻擊事件。據安全公司Huntress Labs稱(chēng)，至少有1000家企業(yè)或機構受到影響，這使得這次事件成為歷史上最大的勒索軟件攻擊之一。

Kaseya 發(fā)表聲明稱(chēng)，其事件響應團隊發(fā)現VSA軟件可能被入侵。VSA軟件運行在企業(yè)服務(wù)器、計算機和網(wǎng)絡(luò )設備上，屬于外包技術(shù)。Kaseya督促使用VSA軟件的客戶(hù)立即關(guān)閉服務(wù)器。

Kaseya首席執行官Fred Voccola在一封電子郵件中向媒體表示，只有不到40家使用VSA軟件的客戶(hù)受到該事件影響。但是，這40家客戶(hù)大多是管理服務(wù)提供商，利用VSA軟件承接了很多其他公司的外包服務(wù)。

Fred Voccola稱(chēng)公司已經(jīng)確定了漏洞的來(lái)源，并準備發(fā)布補丁。在此期間，公司會(huì )關(guān)閉所有內部VSA服務(wù)器、SaaS和托管VSA服務(wù)器，直到恢復安全運營(yíng)。

荷蘭漏洞披露研究所(DIVD)披露了這次供應鏈攻擊的細節，研究所向該公司報告了一個(gè)被追蹤為CVE-2021-30116的零日漏洞。REvil正是利用該漏洞攻擊Kaseya的VSA服務(wù)器。

據Sophos惡意軟件分析師Mark Loman表示，REvil利用Kaseya VSA在受害者的環(huán)境中部署勒索軟件的變體，通過(guò)偽造的Windows Defender應用程序側加載惡意二進(jìn)制代碼，加密文件，并向受害者開(kāi)出500萬(wàn)美元的贖金。

安全公司Huntress Labs在Reddit上發(fā)布了一篇帖子，詳細介紹此次入侵的工作原理，該木馬軟件以Kaseya VSA Agent Hot-fix的形式發(fā)布。

Huntress Labs表示，他們正在追蹤來(lái)自美國、澳大利亞、歐盟、和拉丁美洲的近30家管理服務(wù)提供商。

隨著(zhù)勒索軟件危機的持續升級，管理服務(wù)提供商已經(jīng)成為一個(gè)有利可圖的目標，主要是因為一次成功的入侵可以訪(fǎng)問(wèn)供應鏈上多家企業(yè)，將整條供應鏈的企業(yè)置于易受攻擊的風(fēng)險中。

瑞典連鎖超市中招

勒索組織對美國公司Kaseya的攻擊給瑞典的食品零售業(yè)、藥店和火車(chē)票銷(xiāo)售企業(yè)帶來(lái)了20%的損失。有意思的是，這些企業(yè)甚至不是Kaseya的直接客戶(hù)。

在Kaseya受攻擊后，瑞典最大的連鎖超市品牌Coop確認其一個(gè)承包商被勒索軟件攻擊，全國近800家門(mén)店的收銀機和自助服務(wù)出現故障無(wú)法處理付款，導致門(mén)店被迫關(guān)閉。

Coop的軟件供應商之一 Visma Esscom確認，他們受到了Kaseya事件的影響。7月3日，Coop決定將旗下500多家受?chē)乐赜绊懙拈T(mén)店暫時(shí)關(guān)閉運營(yíng)一天。