美國東部時間周五下午 2 點(diǎn)左右Kaseya 被攻擊， 2021 年 7 月 3 日晚上 7:30 和晚上 9:00 又連續(xù)被攻擊、 7 月 4 日上午 10:00 Kaseya再次發(fā)出警告，Kaseya 被攻擊。這次攻擊針對的是 Kaseya的本地 VSA 產(chǎn)品。

目前Kaseya強(qiáng)烈建議本地客戶的 VSA 服務(wù)器保持離線狀態(tài)，直至另行通知。

??

此次攻擊中，攻擊者利用漏洞發(fā)送惡意 Kaseya VSA 軟件更新，該更新被打包了一種勒索軟件，可以加密受感染系統(tǒng)上的文件。

根據(jù)安全研究員 Kevin Beaumont 的說法，VSA 以管理員權(quán)限運(yùn)行，這使得攻擊者也可以將勒索軟件發(fā)送給受影響的 MSP 的客戶。

一旦感染了受害者系統(tǒng)，惡意軟件試圖禁用各種 Microsoft Defender for Endpoint 保護(hù)，包括實時監(jiān)控、IPS、腳本掃描、網(wǎng)絡(luò)保護(hù)、云樣本提交、云查找和受控文件夾訪問。在部署勒索軟件之前，VSA 管理員帳戶顯然已被禁用。

根據(jù) Huntress 的說法，本次攻擊似乎是由REvil/Sodinokibi勒索軟件即服務(wù)運(yùn)營者發(fā)起。

Kaseya 是一家為托管服務(wù)提供商 (MSP) 和 IT 公司提供 IT 管理軟件的公司，他們將周末遭到的 REvil(又名 Sodinokibi)勒索軟件攻擊描述為針對其本地 VSA 產(chǎn)品的“復(fù)雜的網(wǎng)絡(luò)攻擊”。除了建議所有客戶關(guān)閉其本地 VSA 服務(wù)器，直至另行通知外，Kaseya 還決定在調(diào)查進(jìn)行期間立即關(guān)閉他們的軟件即服務(wù) (SaaS) 服務(wù)器，作為一項保守的安全措施。

REvil 勒索軟件攻擊者

截止發(fā)文時，Kaseya 尚未發(fā)布有關(guān)此次攻擊的技術(shù)信息，但網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 透露，攻擊者利用Kaseya 的 VSA 軟件推送惡意腳本。

攻擊者利用VSA 軟件推送惡意 PowerShell 腳本，然后將 REvil 勒索軟件載荷加載到客戶系統(tǒng)上。同樣重要的是，非kaseya的客戶也可能通過他們的服務(wù)提供商受到影響。

影響 Kaseya VSA 的 Sodinokibi/REvil 勒索軟件(檢測為 Ransom.Win32.SODINOKIBI.YABGC)會禁用某些服務(wù)并終止與合法軟件(如瀏覽器和生產(chǎn)力應(yīng)用程序)相關(guān)的進(jìn)程。具體來說，它終止以下進(jìn)程：

• agntsvc
• dbeng50
• dbsnmp
• encsvc
• excel
• firefox
• infopath
• isqlplussvc
• msaccess
• mspub
• mydesktopqos
• mydesktopservice
• ocautoupds
• ocomm
• ocssd
• onenote
• oracle
• outlook
• powerpnt
• sqbcoreservice
• sql
• steam
• synctime
• tbirdconfig
• thebat
• thunderbird
• visio
• winword
• wordpad
• xfssvccon

如果 Sodinokibi 檢測到操作系統(tǒng)語言為以下任何一種，則會自行終止：

• 阿拉伯語——敘利亞;
• 亞美尼亞的東部;
• 阿塞拜疆西里爾文;
• 阿塞拜疆拉丁語;
• 白俄羅斯語;
• 格魯吉亞語;
• 哈薩克語;
• 吉爾吉斯西里爾文;
• 羅馬尼亞語——摩爾多瓦;
• 俄語;
• 俄語 ——摩爾多瓦;
• 敘利亞語;
• 塔吉克;
• 韃靼;
• 土庫曼斯坦;
• 烏克蘭語;
• 烏茲別克西里爾文;
• 烏茲別克語拉丁語;

??

受影響系統(tǒng)的壁紙更改為此圖像

??

Sodinokibi 贖金通知

REvil 勒索軟件被認(rèn)為是 GandCrab 的迭代產(chǎn)品，以針對知名受害者并采用雙重勒索策略迫使受害者支付贖金而聞名。 REvil 攻擊者也是最近針對肉類供應(yīng)商 JBS 的大規(guī)模勒索軟件攻擊的幕后黑手。

安全建議

雖然調(diào)查仍在進(jìn)行中，但對于受影響的用戶來說，遵循 Kaseya 的指導(dǎo)來保護(hù)他們的系統(tǒng)免受進(jìn)一步損害是很重要的。截至2021年7月3日晚9點(diǎn)(美國東部時間)，該公司已建議關(guān)閉所有本地VSA服務(wù)器，只有在部署補(bǔ)丁后才能重新啟動。

由于勒索軟件可以具有多個入口點(diǎn)和加密功能，因此企業(yè)需要良好的備份策略和多層安全方法來保護(hù)其網(wǎng)絡(luò)并保護(hù)其關(guān)鍵業(yè)務(wù)數(shù)據(jù)：

• 電子郵件和 Web 保護(hù)通過阻止垃圾郵件和對惡意鏈接的訪問來防止勒索軟件進(jìn)入你的網(wǎng)絡(luò);
• 服務(wù)器保護(hù)保護(hù)服務(wù)器免受可利用的漏洞的影響;
• 網(wǎng)絡(luò)保護(hù)通過防止勒索軟件從服務(wù)器傳播到終端或從終端傳播到終端來保護(hù)你的網(wǎng)絡(luò);
• 終端保護(hù)通過阻止勒索軟件運(yùn)行來保護(hù)終端;

IOC

(1) 勒索軟件加密器由 {Path}\agent.exe 投放，檢測為 Trojan.Win32.SODINSTALL.YABGC，通過 DLL 側(cè)加載技術(shù)使用合法可執(zhí)行文件加載惡意 DLL (Ransom.Win32.SODINOKIBI.YABGC);

(2) VSA 程序被命名為“Kaseya VSA Agent Hot-fix”;

(3) 至少有兩個特定任務(wù)，加密和進(jìn)程終止，使用前面提到的加密器運(yùn)行似乎是特定的 PowerShell 腳本。

??

此次攻擊迫使瑞典連鎖超市Coop關(guān)閉800家門店

據(jù)瑞典最大的雜貨連鎖店之一 Coop 稱，Kaseya安全事件發(fā)生后，用于遠(yuǎn)程更新其收銀臺的工具受到攻擊的影響，因此無法進(jìn)行付款，導(dǎo)致全國近800家門店被迫關(guān)閉。

Coop 發(fā)言人 Therese Knapp 告訴瑞典電視臺：

瑞典通訊社 TT 稱，瑞典公司 Visma Esscom 使用了 Kaseya 技術(shù)，該公司為許多瑞典企業(yè)管理服務(wù)器和設(shè)備。

根據(jù)最新的消息，在 Kaseya 開始向其客戶發(fā)布經(jīng)過驗證的修復(fù)程序之前，REvil 附屬公司已經(jīng)掌握了該漏洞的詳細(xì)信息并設(shè)法利用它。

REvil勒索軟件組織聲稱已經(jīng)加密了超過一百萬個系統(tǒng)，并要求支付 7000 萬美元贖金。然而，今天，攻擊者又將價格降至 5000 萬美元。

??

這是史上最高的贖金要求，不過之前的最高贖金記錄也屬于 REvil，當(dāng)時在攻擊臺灣電子和電腦制造商宏碁后，就要求支付5000 萬美元贖金。

這不是 REvil 勒索軟件第一次被用于攻擊 MSP，2019 年 6 月，REvil 的一個附屬公司使用其管理軟件通過遠(yuǎn)程桌面瞄準(zhǔn) MSP，向他們管理的所有客戶終端傳播了勒索軟件安裝程序。

據(jù)信，同一附屬公司此前曾與 GandCrab 合作，在 2019 年 1 月攻擊了 MSP 的網(wǎng)絡(luò)，當(dāng)時REvil 組織要求 7000 萬美元來解密鎖定在 Kaseya 攻擊中的系統(tǒng)。

目前Kaseya 發(fā)言人還沒有評論該公司是否會考慮支付 REvil 組織的贖金要求。在撰寫本文時， Kaseya 勒索軟件事件已經(jīng)影響了全球數(shù)千家公司。VSA 設(shè)備是基于 Web 的平臺，通常由大型公司或托管服務(wù)提供商 (MSP) 用于管理遠(yuǎn)程計算機(jī)群，REvil 組織就是通過受感染的 VSA 服務(wù)器轉(zhuǎn)向所有連接的工作站和企業(yè)網(wǎng)絡(luò)。

REvil勒索軟件的技術(shù)分析

REvil 勒索軟件已經(jīng)在黑市上宣傳了三年，它是最多產(chǎn)的 RaaS 操作之一。根據(jù)卡巴斯基實驗室對 REvil 運(yùn)營商的追蹤分析，該組織在 2020 年的運(yùn)營中賺取了超過 1 億美元。 該組織的活動于 2019 年 4 月在另一個現(xiàn)已解散的勒索軟件組織 GandCrab 關(guān)閉后首次被觀察到。在本次對kaseya的攻擊案例中，攻擊者通過 PowerShell 腳本部署了一個惡意 dropper，而該腳本又通過供應(yīng)商的代理執(zhí)行：

??

此腳本禁用 Microsoft Defender 的終端保護(hù)功能，然后使用 certutil.exe 實用程序解碼惡意可執(zhí)行文件 (agent.exe)，該可執(zhí)行文件會下載一個合法的 Microsoft 二進(jìn)制文件(MsMpEng.exe，Microsoft Defender 的舊版本)和惡意庫 (mpsvc) .dll)，這是 REvil 勒索軟件的整個攻擊進(jìn)程。然后，合法的 MsMpEng.exe 通過使用 DLL 側(cè)加載技術(shù) (T1574.002) 加載此庫。

??

“agent.exe” dropper 的執(zhí)行流程

截至撰寫本文時，研究人員已經(jīng)觀察到 22 個國家/地區(qū)的 5000 多次攻擊企圖。

REvil使用Salsa20對稱流算法加密文件內(nèi)容，并使用橢圓曲線非對稱算法加密密鑰。由于惡意軟件中使用的安全加密方案和實現(xiàn)，如果沒有網(wǎng)絡(luò)犯罪分子的密鑰，就不可能解密受此惡意軟件影響的文件。

卡巴斯基產(chǎn)品可防御此威脅并使用以下名稱進(jìn)行檢測：

• UDS:DangerousObject.Multi.Generic
• Trojan-Ransom.Win32.Gen.gen
• Trojan-Ransom.Win32.Sodin.gen
• Trojan-Ransom.Win32.Convagent.gen
• PDM:Trojan.Win32.Generic

??

卡巴斯基TIP查詢頁面的0x561CFFBABA71A6E8CC1CDCEDA990EAD4二進(jìn)制文件部分

為了保護(hù)你的公司免受勒索軟件 2.0 攻擊，卡巴斯基專家建議：

• 除非絕對必要，否則不要將遠(yuǎn)程桌面服務(wù)(例如 RDP)暴露給公共網(wǎng)絡(luò)，并且始終為它們使用強(qiáng)密碼;
• 及時安裝商用VPN解決方案可用的補(bǔ)丁，為遠(yuǎn)程員工提供訪問并充當(dāng)網(wǎng)絡(luò)中的網(wǎng)關(guān);
• 在你使用的所有設(shè)備上保持軟件更新，以防止勒索軟件利用漏洞;

4.把你的防御策略集中在檢測橫向移動和數(shù)據(jù)泄露到互聯(lián)網(wǎng)上，要特別注意流出的流量，以檢測網(wǎng)絡(luò)罪犯的連接。定期備份數(shù)據(jù)，確保在需要的緊急情況下可以快速訪問它。使用最新的威脅情報信息來了解攻擊者者使用的實際TTP。

CISA 和 FBI 也分享了針對 Kaseya 勒索軟件攻擊受害者的指南

CISA 和 FBI已為受 REvil 供應(yīng)鏈勒索軟件攻擊影響的托管服務(wù)提供商 (MSP) 及其客戶共享了一些安全指南，該攻擊襲擊了 Kaseya 基于云的 MSP 平臺的系統(tǒng)。

這兩個聯(lián)邦機(jī)構(gòu)建議受REvil 攻擊影響的 MSP 在周末使用 Kaseya 提供的檢測工具進(jìn)一步檢查他們的系統(tǒng)是否存在入侵跡象，并在盡可能多的帳戶上啟用多因素身份驗證 (MFA)。

此外，MSP 還應(yīng)實施許可名單以限制對其內(nèi)部資產(chǎn)的訪問，并使用防火墻或 VPN 保護(hù)其遠(yuǎn)程監(jiān)控工具的管理界面。

CISA 和 FBI 為受影響的 MSP 提供的完整建議列表包括：

• 下載Kaseya VSA檢測工具，該工具分析系統(tǒng)(VSA服務(wù)器或托管終端)會確定是否存在任何攻擊指標(biāo)(IoC);
• 在組織控制下的每個帳戶上啟用和實施多因素身份驗證(MFA)，并且盡可能為面向客戶的服務(wù)啟用和實施MFA;
• 實施許可名單以將與遠(yuǎn)程監(jiān)控和管理 (RMM) 功能的通信限制為已知 IP 地址;
• 將 RMM 的管理接口置于虛擬專用網(wǎng)絡(luò) (VPN) 或?qū)Ｓ霉芾砭W(wǎng)絡(luò)上的防火墻之后;
• 建議受攻擊影響的 MSP 客戶盡可能使用和強(qiáng)制執(zhí)行 MFA，并通過將它們放置在氣隙系統(tǒng)上來保護(hù)他們的備份。

CISA 和 FBI 建議受影響的 MSP 客戶：

• 確保備份是最新的，并存儲在與組織網(wǎng)絡(luò)隔離的易于檢索的位置;
• 按照供應(yīng)商修復(fù)指南恢復(fù)手動補(bǔ)丁管理流程，包括在新補(bǔ)丁可用時立即安裝;
• 對關(guān)鍵網(wǎng)絡(luò)資源管理員帳戶實施 MFA 和最小權(quán)限原則;

FBI在周末發(fā)表的一份官方聲明中說：

本文翻譯自：

https://www.trendmicro.com/en_us/research/21/g/it-management-platform-kaseya-hit-with-sodinokibi-revil-ransomwa.html https://www.bleepingcomputer.com/news/security/cisa-fbi-share-guidance-for-victims-of-kaseya-ransomware-attack/