REvil在Kaseya勒索软件攻击中使用了0天，要求7000万美元的赎金

周五，大规模的供应链勒索软件攻击引发了一条危及数千家企业的感染链，关于臭名昭著的与俄罗斯有关的REvil网络犯罪团伙可能如何完成这一前所未有的黑客攻击，新的细节已经浮出水面。

荷兰漏洞披露研究所（DIVD）周日透露，它已提醒Kaseya注意其VSA软件（CVE-2021-30116）中的一些零日漏洞，称这些漏洞正被用作部署勒索软件的渠道。这家非营利实体表示，7月2日的攻击发生时，该公司正在解决这些问题，作为协调漏洞披露的一部分。

关于这些缺陷的更多细节没有被分享，但DIVD主席维克多·格弗斯暗示，零日是微不足道的。据ESET称，至少有1000家企业受到此次袭击的影响，受害者包括17个国家，包括英国、南非、加拿大、阿根廷、墨西哥、印度尼西亚、新西兰和肯尼亚。

Kaseya VSA是针对托管服务提供商（MSP）的基于云的IT管理和远程监控解决方案，提供了一个集中控制台，用于监控和管理端点、自动化IT流程、部署安全补丁，以及通过双因素身份验证控制访问。

雷维尔要求7000万美元赎金

自2019年4月以来活跃的REvil（Aka SodiokiBi）最早是在上个月初从肉类加工厂JBS敲诈1100万美元，其中RANSOMWA-服务业占2021第一季度公共和私营部门攻击的4.6%。

该组织现在要求支付创纪录的7000万美元赎金，以发布一个通用解密器，该解密器可以解锁所有被文件加密勒索软件破坏的系统。

“在周五（2021年7月2日），我们对MSP提供商发起了一次攻击。超过100万个系统被感染。如果有人想协商通用解密器–；我们的BTC价格是7000000美元，我们将公开发布解密器，解密所有受害者的文件，这样每个人都能在不到一小时内从攻击中恢复过来。”REvil集团发布在他们的黑暗网站数据泄露网站上。

卡西亚已经征集了FireEye的帮助，帮助其对这起事件进行调查，他说，它打算“把我们的SaaS数据中心从一个接一个地带回到网上，从我们的EU、英国和亚太数据中心开始，然后是我们北美的数据中心。”

On-premises VSA servers will require the installation of a patch prior to a restart, the company noted, adding it's in the process of readying the fix for release on July 5.

CISA问题咨询

这一发展促使美国网络安全和基础设施安全局（CISA）发布了一项建议，敦促客户下载Kaseya提供的危害检测工具，以识别任何危害指标（IoC），启用多因素认证，将远程监控和管理（RMM）功能的通信限制在已知的IP地址对内，并将RMM的管理接口置于虚拟专用网络（VPN）或专用管理网络上的防火墙之后。

Secureworks首席威胁情报官巴里·亨斯利（Barry Hensley）通过电子邮件告诉《黑客新闻》：“在我们的客户群中，受影响的组织似乎不到十家，而且影响似乎仅限于运行Kaseya软件的系统。”。

“我们没有看到威胁行为体试图横向移动或通过受损网络传播勒索软件的证据。这意味着，拥有广泛Kaseya VSA部署的组织可能比那些只在一两台服务器上运行的组织受到的影响要大得多。”

通过让软件供应商妥协，以MSP为目标，MSP反过来为其他中小型企业提供以基础设施或设备为中心的维护和支持，这一发展再次强调了确保软件供应链安全的重要性，同时也强调了敌对代理人如何通过将供应链攻击和勒索软件的双重威胁结合起来，同时打击数百名受害者，从而继续推进其财务动机。

Acronis首席信息安全官凯文·里德（Kevin Reed）说：“MSP是高价值目标—；它们有巨大的攻击面，使它们成为网络犯罪分子的有力目标。”。“一个MSP可以为几十到一百家公司管理它：犯罪分子不需要危害100家不同的公司，只需要攻击一个MSP就可以访问所有公司。”