Kaseya供应链攻击使用REvil勒索软件袭击了近40家服务提供商

臭名昭著的REvil网络犯罪行动背后的威胁行为人似乎通过更新Kaseya的IT管理软件来推动勒索软件，袭击了全球约40名客户，这是一次广泛的供应链勒索软件攻击的例子。

该公司首席执行官Fred Voccola在星期五晚些时候发表的一份声明中说：“从2021年7月2日中旬开始（EST／美国），卡西亚事件响应小组获悉了一个涉及VSA软件的潜在安全事件。”

事件发生后，这家IT和安全管理服务公司表示，除了通知其内部客户关闭其VSA服务器以防止其受到危害外，该公司还立即采取措施关闭其SaaS服务器，作为预防措施。

Voccola还表示，该公司已经确定了漏洞的来源，并正在准备一个补丁来缓解当前的问题。在此期间，该公司还指出，它打算关闭所有本地VSA服务器、SaaS和托管VSA服务器，直到安全恢复运营。

Sophos恶意软件分析师马克·洛曼（Mark Loman）表示，整个行业的供应链攻击利用Kaseya VSA将REvil勒索软件的一个变种部署到受害者的环境中，恶意二进制端通过假冒的Windows Defender应用程序加载，以加密文件，换取500万美元的勒索要求。

洛曼补充说，攻击链还包括试图通过PowerShell禁用Microsoft Defender实时监控。Huntess实验室在Reddit发布的一篇详细介绍漏洞工作原理的帖子中说，该特洛伊木马软件以“Kaseya VSA代理热修复程序”的形式分发。

研究人员指出，他们发现了八家受攻击的托管服务提供商（MSP），即向其他公司提供IT服务的公司。亨特雷斯实验室表示，这些MSP服务的大约200家企业已被部分网络拒之门外。

随着勒索软件危机的持续升级，MSP已经成为一个有利可图的目标，主要是因为成功的入侵打开了对多个客户的访问，使他们都容易受到攻击。随着大规模的SolarWinds行动后供应链攻击变得频繁，针对MSP分发勒索软件的供应链攻击产生了指数级后果，使不良行为者能够同时袭击数百名受害者。

更新：在周六分享的一份修订后的建议中，Kaseya称自己是“一次复杂网络攻击的受害者”，同时警告客户不要点击与勒索软件运营商通信时发送的任何链接。“他们可能被武器化了，”该公司警告说。

除了与网络安全公司FireEye Mandiant建立联系，以确定泄露指标（IOC），该公司还建议企业保持所有本地VSA服务器离线，直到进一步通知，并使用其提供的泄露检测工具开始恢复过程。

亨特雷斯实验室表示，它正在跟踪美国、澳大利亚、欧盟、欧盟和拉丁美洲的近30个MSP，Kaseya VSA被用于加密不到1000家新企业。

亨特雷斯实验室研究员约翰·哈蒙德说：“所有这些VSA服务器都是本地的，亨特雷斯对网络罪犯利用漏洞进入这些服务器进行了高度自信的评估。”。

这增加了REvil利用Kaseya VSA软件中的零日漏洞访问系统的可能性，这是勒索软件集团首次在攻击中使用零日漏洞。Kaseya，指出，它已经孤立和复制了攻击向量，并且它正在努力增加软件补救来解决安全弱点。