美國東部時間7月2日，勒索組織REvil利用IT軟件供應(yīng)商Kaseya發(fā)起供應(yīng)鏈攻擊，預(yù)計有數(shù)千家公司中招。

REvil勒索軟件組織利用零日漏洞攻擊了Kaseya基于云的MSP平臺(管理服務(wù)提供商)，破壞其VSA基礎(chǔ)設(shè)施，然后向VSA內(nèi)部服務(wù)器推送惡意更新，在企業(yè)網(wǎng)絡(luò)上部署勒索軟件，導(dǎo)致Kaseya的客戶遭供應(yīng)鏈攻擊。

預(yù)計1000家企業(yè)受影響

7月3日，美國總統(tǒng)拜登下令情報機(jī)構(gòu)全面調(diào)查此次攻擊事件。據(jù)安全公司Huntress Labs稱，至少有1000家企業(yè)或機(jī)構(gòu)受到影響，這使得這次事件成為歷史上最大的勒索軟件攻擊之一。

Kaseya 發(fā)表聲明稱，其事件響應(yīng)團(tuán)隊(duì)發(fā)現(xiàn)VSA軟件可能被入侵。VSA軟件運(yùn)行在企業(yè)服務(wù)器、計算機(jī)和網(wǎng)絡(luò)設(shè)備上，屬于外包技術(shù)。Kaseya督促使用VSA軟件的客戶立即關(guān)閉服務(wù)器。

Kaseya首席執(zhí)行官Fred Voccola在一封電子郵件中向媒體表示，只有不到40家使用VSA軟件的客戶受到該事件影響。但是，這40家客戶大多是管理服務(wù)提供商，利用VSA軟件承接了很多其他公司的外包服務(wù)。

Fred Voccola稱公司已經(jīng)確定了漏洞的來源，并準(zhǔn)備發(fā)布補(bǔ)丁。在此期間，公司會關(guān)閉所有內(nèi)部VSA服務(wù)器、SaaS和托管VSA服務(wù)器，直到恢復(fù)安全運(yùn)營。

荷蘭漏洞披露研究所(DIVD)披露了這次供應(yīng)鏈攻擊的細(xì)節(jié)，研究所向該公司報告了一個被追蹤為CVE-2021-30116的零日漏洞。REvil正是利用該漏洞攻擊Kaseya的VSA服務(wù)器。

據(jù)Sophos惡意軟件分析師Mark Loman表示，REvil利用Kaseya VSA在受害者的環(huán)境中部署勒索軟件的變體，通過偽造的Windows Defender應(yīng)用程序側(cè)加載惡意二進(jìn)制代碼，加密文件，并向受害者開出500萬美元的贖金。

安全公司Huntress Labs在Reddit上發(fā)布了一篇帖子，詳細(xì)介紹此次入侵的工作原理，該木馬軟件以Kaseya VSA Agent Hot-fix的形式發(fā)布。

Huntress Labs表示，他們正在追蹤來自美國、澳大利亞、歐盟、和拉丁美洲的近30家管理服務(wù)提供商。

隨著勒索軟件危機(jī)的持續(xù)升級，管理服務(wù)提供商已經(jīng)成為一個有利可圖的目標(biāo)，主要是因?yàn)橐淮纬晒Φ娜肭挚梢栽L問供應(yīng)鏈上多家企業(yè)，將整條供應(yīng)鏈的企業(yè)置于易受攻擊的風(fēng)險中。

瑞典連鎖超市中招

勒索組織對美國公司Kaseya的攻擊給瑞典的食品零售業(yè)、藥店和火車票銷售企業(yè)帶來了20%的損失。有意思的是，這些企業(yè)甚至不是Kaseya的直接客戶。

在Kaseya受攻擊后，瑞典最大的連鎖超市品牌Coop確認(rèn)其一個承包商被勒索軟件攻擊，全國近800家門店的收銀機(jī)和自助服務(wù)出現(xiàn)故障無法處理付款，導(dǎo)致門店被迫關(guān)閉。

Coop的軟件供應(yīng)商之一 Visma Esscom確認(rèn)，他們受到了Kaseya事件的影響。7月3日，Coop決定將旗下500多家受嚴(yán)重影響的門店暫時關(guān)閉運(yùn)營一天。