【安全资讯】REvil组织利用Kaseya软件平台发起大规模供应链勒索攻击,约200家企业遭受影响

安恒情报中心 2021-07-05 05:04:47 2455人浏览

引言

2021年7月2日,REvil勒索软件团伙(又名Sodinokibi)利用Kaseya公司的VSA产品漏洞,进行大规模的供应链勒索攻击。该勒索组织利用Kaseya VSA产品漏洞,分发带有恶意软件的Kaseya VSA 软件更新,该更新被替换成勒索软件,可以加密受感染系统上的文件。目前至少有 8 家托管服务提供商 (MSP) 遭到入侵,200 多家客户已受影响。


背景

Kaseya是一家位于迈阿密的IT软件管理公司,专门为托管服务提供商(MSP)提供远程管理软件服务,该公司旗下有一款名为Kaseya VSA的产品。Kaseya VSA产品是一个基于云的MSP平台,允许提供商为其客户执行补丁管理和客户端监控。


Kaseya公司在官网上发布了安全公告,提醒所有VSA客户应立即关闭他们的VSA服务器,以防止攻击发生。


公告意思大致如下:

“截至今天美国东部时间下午 2:00,我们正在经历针对VSA的潜在攻击,该攻击仅影响少数本地客户。我们正在调查事件的根本原因, 建议您立即关闭VSA服务器,直到您收到我们的进一步通知。立即执行此操作至关重要,因为攻击者做的第一件事就是关闭对VSA的管理访问。”

该公司表示目前已关闭了SaaS服务器,并与其他安全公司合作调查攻击事件。大多数勒索软件加密攻击都选在了周末的深夜进行,因为这个时间段负责网络监控的人手较少,本次攻击发生的时间是周五中午,攻击者很可能计划在周末发起更大范围的攻击行动。


攻击细节

Huntress安全公司的研究人员透露,对MSP的攻击似乎是通过Kaseya VSA发起的供应链攻击进行的。Kaseya VSA会将agent.crt文件放到c:\kworking文件夹中,该文件夹将作为名为“Kaseya VSA Agent Hot-fix”的更新分发。然后启动PowerShell命令以使用合法的Windows certutil.exe命令对agent.crt文件进行解码,并将agent.exe文件提取到同一文件夹中。


执行REvil勒索软件的PowerShell命令


agent.exe使用来自“PB03 TRANSPORT LTD”的证书进行签名,包括嵌入的“MsMpEng.exe”和“mpsvc.dll”,其中DLL是REvil加密器。

  agent.exe 可执行文件的签名

MsMPEng.exe是合法Microsoft Defender可执行文件的旧版本,用作LOLBin以启动DLL并通过受信任的可执行文件加密设备。



赎金要求

REvil组织在网站上表示, 可以通过支付7000万美元的比特币获取通用解密器对所有受害者解密,完整公告如下:

“周五(2021.07.02)我们对MSP提供商发起了攻击。超过100万个系统被感染。我们提出的通用解密器售价为70,000,000美元的比特币,并公开发布解密文件,解密所有受害者,所以每个人将能够在攻击发生后的不到一个小时恢复文件。如果您有兴趣进行这样的交易,请联系我们联系我们”



防范建议

CISA和FBI针对受 Kaseya VSA 供应链勒索攻击影响的 MSP 及其客户发布以下指南。


CISA 和 FBI 推荐受影响的 MSP采取以下措施:

● 下载Kaseya VSA检测工具。此工具分析系统(VSA 服务器或受管端点)是否存在任何危害指标 (IoC)。
● 在组织控制下的每个帐户上启用和实施多重身份验证 (MFA),并尽可能为面向客户的服务启用和实施 MFA。
●  实施许可名单以将与远程监控和管理 (RMM) 功能的通信限制为已知 IP 地址
●  将 RMM 的管理接口置于虚拟专用网络 (VPN) 或专用管理网络上的防火墙之后。


CISA 和 FBI 建议受影响的 MSP 客户采取以下措施:

● 确保备份是最新的,并存储在与组织网络隔离的易于检索的位置;
● 恢复到遵循供应商补救指南的手动补丁管理流程,包括在新补丁可用时立即安装;
● 实施:
        - 多因素身份验证
        - 关键网络资源管理员帐户最小权限原则。


危害指标IOC及Yara规则信息等资源(仅供参考):

        https://github.com/cado-security/DFIR_Resources_REvil_Kaseya

        https://github.com/pgl/kaseya-revil-cnc-domains

失陷指标(IOC)1236
REvil 供应链攻击 Kaseya 勒索软件 其他
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。