风险提示:防范以"虚拟货币""区块链"名义进行非法集资的风险 —银保监会等五部门
行情 平台 资讯 钱包 登录

7000万美元的比特币,REvil勒索软件团伙再次出手

发布在 比特币
23 0
7000万美元的比特币,REvil勒索软件团伙再次出手

上周REvil 勒索软件团伙获得了Kaseya基础设施的访问权限,并使用其 VSA 软件的更新在企业网络上部署勒索软件,目前已有多家企业数据被加密。Kaseya/REvil事件目前被认为是网络犯罪团伙发起的最大的勒索软件爆发。

7000万美元的比特币,REvil勒索软件团伙再次出手

REvil勒索软件团伙介绍:GandCrab 是曾经最大的 RaaS(勒索软件即服务)运营商之一,在赚得盆满钵满后于 2019 年 6月宣布停止更新。随后,另一个勒索运营商买下了GandCrab 的代码,即最早被人们称作Sodinokibi 勒索病毒。由于在早期的解密器中使用了“REvilDecryptor”作为程序名称,这个勒索运营商就是REvil勒索软件团伙。其专注于财务的威胁行为者,被认为是当今最先进的勒索软件的服务运营商.

Kaseya介绍:美国一家软件公司,致力于IT管理服务,是全球有名的远程管理解决方案提供商。众多IT服务外包商是Kaseya的客户。

7000万美元的比特币,REvil勒索软件团伙再次出手

7月 2日星期五,当时美国的大多数 IT团队正准备美国周时,Kaseya首席执行官 Fred Voccola通告勒索软件团伙可能获得了对 Kaseya后端基础设施的访问权限,并滥用它向在客户端运行的 VSA服务器部署恶意更新。

该恶意更新用于将一个版本的REvil勒索软件从 VSA服务器安装到所有连接的工作站,从而有效感染连接到受攻击 VSA系统的其他第三方公司的网络。

7月2日在周五攻击期间受到影响的 MSP包括 VismaEssCom、Synnex和Avtex。

7月3日周六,防病毒供应商 ESET表示,它检测到REvil勒索软件感染激增,这与正在进行的 Kaseya事件有关。大部分感染来自位于英国的系统,其次是南非、德国和美国。根据ESET的遥测数据,已经确定了感染了英国、南非、加拿大、德国、美国、哥伦比亚、墨西哥,荷兰,印度尼西亚,日本,毛里求斯,新西兰,西班牙和土耳其国家MSP的系统。

7000万美元的比特币,REvil勒索软件团伙再次出手

瑞典最大的连锁超市之一的Coop,在周五Kaseya安全事件发生后,其一名承包商遭到勒索软件攻击,该公司已关闭了全国近 800家商店,只有5家店未受影响。

7000万美元的比特币,REvil勒索软件团伙再次出手

REvil 要求受害者支付7000万美元来解密在 Kaseya攻击中被加密的系统

7000万美元的比特币,REvil勒索软件团伙再次出手

REvil在暗网博客中发布的消息:周五我们对MSP提供商进行了一轮攻击,超过百万个系统被勒索病毒感染,如果你们想解密,支付7千万美元的比特币后我们会公布解密文件的密钥,你们可以在1小时内回复所有文件。如果你对交易感兴趣,请按照“自述”文件说明与我们联系。

攻击者是如何得知该漏洞的?

7000万美元的比特币,REvil勒索软件团伙再次出手

荷兰网络安全组织 DIVD主席Gevers表示,攻击者正在利用 Kaseya VSA 服务器中的一个漏洞,该漏洞是其研究人员几周前发现的。Gevers 拒绝分享有关勒索软件团伙周五利用的漏洞性质的详细信息,但在 Reddit 的评论中,安全公司 Huntress Labs 是最早发现攻击的安全公司之一,他说大多数迹象都表明 VSA Web 界面中存在身份验证绕过漏洞。

该漏洞似乎已被用于绕过 VSA Web 面板上的身份验证,然后在 VSA 设备上运行 SQL 命令并将勒索软件部署到所有连接的客户端。在客户网络上,VSA 设备部署了“VSA 代理修补程序”程序包,该程序包使用较旧且易受攻击的 Microsoft Defender 应用程序版本绕过防病毒解决方案,该应用程序用于加密本地工作站。

7000万美元的比特币,REvil勒索软件团伙再次出手

其实VSA Web的漏洞早在4月2日就被提交到CVE漏洞库,且提交者按照CVE相关规定并未对外披露,REvil如何获取的漏洞目前还不清楚。只是在3个月的时间内,Kaseya一直未解决此问题。

7000万美元的比特币,REvil勒索软件团伙再次出手

目前Kaseya已关闭基于云的基础设施,并敦促所有 VSA所有者将服务器脱机。

Kaseya表示他们现在已经确定了攻击中使用的漏洞,并正在周六的更新中准备缓解措施。

该公司还表示,它聘请了安全公司 FireEye 以及其他几家安全公司来帮助调查黑客行为。它还向所有拥有本地 VSA 服务器的客户发布了一个名为“妥协检测工具”的新工具,以帮助所有者确定他们的服务器是否在周五的攻击中遭到黑客攻击。

DIVD 已经在互联网上扫描了所有 VSA 服务器,它表示,从攻击前最初看到的 2,200 台服务器中,只有不到 140 台服务器今天仍然在线连接。

7000万美元的比特币,REvil勒索软件团伙再次出手

7000万美元的比特币,REvil勒索软件团伙再次出手

Kaseya缘何被多次攻击,如何防范供应链攻击

2019年 2月,Gandcrab勒索软件团伙滥用 ConnectWise Manage软件的 Kaseya插件中的漏洞,在 MSP的客户网络上部署勒索软件。

在Gandcrab团伙更名为REvil之后,他们于2019年 6月对 MSP发起了第二次攻击,当时他们滥用 WebrootSecureAnywhere和 Kaseya VSA产品再次将勒索软件从 MSP部署到他们的客户网络。

这已是第三次被Revil盯上。为何Kaseya屡次被黑客团伙攻击,不得不提到供应链攻击,供应链攻击是一种以软件开发人员和供应商为目标的新出现的威胁。目标是通过感染合法应用来分发恶意软件来访问源代码、构建过程或更新机制。当攻击上游的软件提供商成功后,可以利用上游厂商的平台,软件迅速扩大影响范围(典型的如SolarWinds事件)。

对于供应链攻击,安全防范涉及软件的安全设计,开发,交付,部署,运维,重点加强供应链上游的安全管理。全面防范供应链攻击是一个系统的工程,限于篇幅,介绍一下防范的重点

对于软件开发人员和供应商:

  1. 维护高度安全的生成和更新基础结构。

o立即为操作系统和软件应用安全修补程序。

o实施强制完整性控制,以确保仅运行受信任的工具。

o要求管理员进行多重身份验证。

2.构建安全的软件更新程序,作为软件开发生命周期的一部分。

o更新通道和实现证书固定需要 SSL。

o对一切内容进行签名,包括配置文件、脚本、XML 文件和程序包。

o检查数字签名,不要让软件更新程序接受常规输入和命令。

3. 制定针对供应链攻击的事件响应流程。

o披露供应链事件,并及时准确地通知客户

对于软件或平台使用者:

·部署强代码完整性策略以仅允许运行授权的应用。

·使用可以自动检测和修正可疑活动的终结点检测和响应解决方案。


关注我,带您了解更多网络安全动态。

关键词: 比特币
登录 账号发表你的看法,还没有账号?立即免费 注册