[[409090]]

周四下午開始，REvil 勒索軟件團(tuán)伙(又名 Sodinokibi)似乎又盯上了擁有數(shù)千名客戶的托管服務(wù)提供商(MSPs)。作為 Kaseya VSA 供應(yīng)鏈攻擊的一部分，目前已知有 8 個大型的 MSP 遭到了攻擊。據(jù)悉，Kaseya VSA 是一個基于云的 MSP 平臺，允許提供商為客戶執(zhí)行補(bǔ)丁管理和客戶端監(jiān)控任務(wù)。

Huntress Labs 的 John Hammond 向 BleepingComputer透露，所有受影響的 MSP 都在使用 Kaseya VSA，且他們有證據(jù)表明他們的客戶也受到了影響，包括 3 個 Huntress 合作伙伴 / 大約 200 家企業(yè)。

截止美東時間當(dāng)天下午 2 點，此類潛在攻擊似乎僅限于少數(shù)內(nèi)部部署客戶。但 Kaseya 還是在網(wǎng)站上發(fā)布了安全公告，警告所有 VSA 客戶立即關(guān)閉他們的服務(wù)器，以防止事態(tài)的進(jìn)一步蔓延。

目前我們正在非常謹(jǐn)慎地調(diào)查時間的根本原因，但在收到進(jìn)一步的通知之前，建議大家立即關(guān)閉自家的 VSA 服務(wù)器。

該操作至關(guān)重要，還請立即執(zhí)行，因為攻擊者做的第一件事，就是關(guān)上 VSA 管理訪問的大門。

執(zhí)行 REvil 勒索軟件的 PowerShell 命令(圖 via Reddit)

在致 BleepingComputer 的一份聲明中，Kaseya 表示他們已經(jīng)關(guān)閉了自家的 SaaS 服務(wù)器，并且正在與其它安全公司合作調(diào)查這一事件。

此外大多數(shù)勒索軟件加密攻擊都選在了周末的深夜進(jìn)行，因為那時負(fù)責(zé)網(wǎng)絡(luò)監(jiān)控的人手最少。鑒于本次攻擊發(fā)生在周五中午，攻擊者很可能瞄準(zhǔn)這周末發(fā)起更大范圍的行動。

agent.exe 可執(zhí)行文件的簽名

John Hammond 與 Sophos 的 Mark Loman 都向 BleepingComputer 透露，針對 MSP 的攻擊，似乎是通過 Kaseya VSA 發(fā)起的供應(yīng)鏈攻擊。

前者稱，Kaseya VSA 會將 agent.crt 文件放到 c:\kworking 文件夾中，并作為“Kaseya VSA Agent Hot-fix”更新來分發(fā)。

然后借助合法的 Windowscertutil.exe 這個 PowerShell 命令對 agent.crt 文件進(jìn)行解碼，并將 agent.exe 文件提取到同一文件夾中。

agent.exe 使用了來自“PB03 TRANSPORT LTD”的簽名證書，輔以嵌入的“MsMpEng.exe”和“mpsvc.dll”(后面這個動態(tài)鏈接庫文件又被 REvil 勒索軟件的加密器所使用)。

agent.exe 提取并啟動的嵌入式資源代碼

MsMPEng.exe 是合法的 Microsoft Defender 可執(zhí)行文件的舊版本，它被當(dāng)做 LOLBin 以調(diào)用動態(tài)鏈接庫(DLL)文件，并通過受信任的可執(zhí)行文件進(jìn)行加密。

此外一些樣本還向受感染的計算機(jī)注入了帶有政治色彩的 Windows 注冊表項及配置更改，比如 BleepingComputer 就在 [VirusTotal] 樣本中看到了 BlackLivesMatter 密鑰被用于存儲來自攻擊者的配置信息。

若不幸中招，勒索軟件團(tuán)伙會向受害者索取 500 萬美元的贖金，以獲得針對其中一個樣本的解密器。

而且通常 REvil 會在部署文件加密型勒索軟件前竊取受害者的數(shù)據(jù)，但目前尚不清楚本次攻擊有泄露哪些文件。