美國(guó)東部時(shí)間周五下午 2 點(diǎn)左右Kaseya 被攻擊， 2021 年 7 月 3 日晚上 7:30 和晚上 9:00 又連續(xù)被攻擊、 7 月 4 日上午 10:00 Kaseya再次發(fā)出警告，Kaseya 被攻擊。這次攻擊針對(duì)的是 Kaseya的本地 VSA 產(chǎn)品。

目前Kaseya強(qiáng)烈建議本地客戶(hù)的 VSA 服務(wù)器保持離線(xiàn)狀態(tài)，直至另行通知。

??

此次攻擊中，攻擊者利用漏洞發(fā)送惡意 Kaseya VSA 軟件更新，該更新被打包了一種勒索軟件，可以加密受感染系統(tǒng)上的文件。

根據(jù)安全研究員 Kevin Beaumont 的說(shuō)法，VSA 以管理員權(quán)限運(yùn)行，這使得攻擊者也可以將勒索軟件發(fā)送給受影響的 MSP 的客戶(hù)。

一旦感染了受害者系統(tǒng)，惡意軟件試圖禁用各種 Microsoft Defender for Endpoint 保護(hù)，包括實(shí)時(shí)監(jiān)控、IPS、腳本掃描、網(wǎng)絡(luò)保護(hù)、云樣本提交、云查找和受控文件夾訪(fǎng)問(wèn)。在部署勒索軟件之前，VSA 管理員帳戶(hù)顯然已被禁用。

根據(jù) Huntress 的說(shuō)法，本次攻擊似乎是由REvil/Sodinokibi勒索軟件即服務(wù)運(yùn)營(yíng)者發(fā)起。

Kaseya 是一家為托管服務(wù)提供商 (MSP) 和 IT 公司提供 IT 管理軟件的公司，他們將周末遭到的 REvil(又名 Sodinokibi)勒索軟件攻擊描述為針對(duì)其本地 VSA 產(chǎn)品的“復(fù)雜的網(wǎng)絡(luò)攻擊”。除了建議所有客戶(hù)關(guān)閉其本地 VSA 服務(wù)器，直至另行通知外，Kaseya 還決定在調(diào)查進(jìn)行期間立即關(guān)閉他們的軟件即服務(wù) (SaaS) 服務(wù)器，作為一項(xiàng)保守的安全措施。

REvil 勒索軟件攻擊者

截止發(fā)文時(shí)，Kaseya 尚未發(fā)布有關(guān)此次攻擊的技術(shù)信息，但網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 透露，攻擊者利用Kaseya 的 VSA 軟件推送惡意腳本。

攻擊者利用VSA 軟件推送惡意 PowerShell 腳本，然后將 REvil 勒索軟件載荷加載到客戶(hù)系統(tǒng)上。同樣重要的是，非kaseya的客戶(hù)也可能通過(guò)他們的服務(wù)提供商受到影響。

影響 Kaseya VSA 的 Sodinokibi/REvil 勒索軟件(檢測(cè)為 Ransom.Win32.SODINOKIBI.YABGC)會(huì)禁用某些服務(wù)并終止與合法軟件(如瀏覽器和生產(chǎn)力應(yīng)用程序)相關(guān)的進(jìn)程。具體來(lái)說(shuō)，它終止以下進(jìn)程：

• agntsvc
• dbeng50
• dbsnmp
• encsvc
• excel
• firefox
• infopath
• isqlplussvc
• msaccess
• mspub
• mydesktopqos
• mydesktopservice
• ocautoupds
• ocomm
• ocssd
• onenote
• oracle
• outlook
• powerpnt
• sqbcoreservice
• sql
• steam
• synctime
• tbirdconfig
• thebat
• thunderbird
• visio
• winword
• wordpad
• xfssvccon

如果 Sodinokibi 檢測(cè)到操作系統(tǒng)語(yǔ)言為以下任何一種，則會(huì)自行終止：

• 阿拉伯語(yǔ)——敘利亞;
• 亞美尼亞的東部;
• 阿塞拜疆西里爾文;
• 阿塞拜疆拉丁語(yǔ);
• 白俄羅斯語(yǔ);
• 格魯吉亞語(yǔ);
• 哈薩克語(yǔ);
• 吉爾吉斯西里爾文;
• 羅馬尼亞語(yǔ)——摩爾多瓦;
• 俄語(yǔ);
• 俄語(yǔ) ——摩爾多瓦;
• 敘利亞語(yǔ);
• 塔吉克;
• 韃靼;
• 土庫(kù)曼斯坦;
• 烏克蘭語(yǔ);
• 烏茲別克西里爾文;
• 烏茲別克語(yǔ)拉丁語(yǔ);

??

受影響系統(tǒng)的壁紙更改為此圖像

??

Sodinokibi 贖金通知

REvil 勒索軟件被認(rèn)為是 GandCrab 的迭代產(chǎn)品，以針對(duì)知名受害者并采用雙重勒索策略迫使受害者支付贖金而聞名。 REvil 攻擊者也是最近針對(duì)肉類(lèi)供應(yīng)商 JBS 的大規(guī)模勒索軟件攻擊的幕后黑手。

安全建議

雖然調(diào)查仍在進(jìn)行中，但對(duì)于受影響的用戶(hù)來(lái)說(shuō)，遵循 Kaseya 的指導(dǎo)來(lái)保護(hù)他們的系統(tǒng)免受進(jìn)一步損害是很重要的。截至2021年7月3日晚9點(diǎn)(美國(guó)東部時(shí)間)，該公司已建議關(guān)閉所有本地VSA服務(wù)器，只有在部署補(bǔ)丁后才能重新啟動(dòng)。

由于勒索軟件可以具有多個(gè)入口點(diǎn)和加密功能，因此企業(yè)需要良好的備份策略和多層安全方法來(lái)保護(hù)其網(wǎng)絡(luò)并保護(hù)其關(guān)鍵業(yè)務(wù)數(shù)據(jù)：

• 電子郵件和 Web 保護(hù)通過(guò)阻止垃圾郵件和對(duì)惡意鏈接的訪(fǎng)問(wèn)來(lái)防止勒索軟件進(jìn)入你的網(wǎng)絡(luò);
• 服務(wù)器保護(hù)保護(hù)服務(wù)器免受可利用的漏洞的影響;
• 網(wǎng)絡(luò)保護(hù)通過(guò)防止勒索軟件從服務(wù)器傳播到終端或從終端傳播到終端來(lái)保護(hù)你的網(wǎng)絡(luò);
• 終端保護(hù)通過(guò)阻止勒索軟件運(yùn)行來(lái)保護(hù)終端;

IOC

(1) 勒索軟件加密器由 {Path}\agent.exe 投放，檢測(cè)為 Trojan.Win32.SODINSTALL.YABGC，通過(guò) DLL 側(cè)加載技術(shù)使用合法可執(zhí)行文件加載惡意 DLL (Ransom.Win32.SODINOKIBI.YABGC);

(2) VSA 程序被命名為“Kaseya VSA Agent Hot-fix”;

(3) 至少有兩個(gè)特定任務(wù)，加密和進(jìn)程終止，使用前面提到的加密器運(yùn)行似乎是特定的 PowerShell 腳本。

??

此次攻擊迫使瑞典連鎖超市Coop關(guān)閉800家門(mén)店

據(jù)瑞典最大的雜貨連鎖店之一 Coop 稱(chēng)，Kaseya安全事件發(fā)生后，用于遠(yuǎn)程更新其收銀臺(tái)的工具受到攻擊的影響，因此無(wú)法進(jìn)行付款，導(dǎo)致全國(guó)近800家門(mén)店被迫關(guān)閉。

Coop 發(fā)言人 Therese Knapp 告訴瑞典電視臺(tái)：

瑞典通訊社 TT 稱(chēng)，瑞典公司 Visma Esscom 使用了 Kaseya 技術(shù)，該公司為許多瑞典企業(yè)管理服務(wù)器和設(shè)備。

根據(jù)最新的消息，在 Kaseya 開(kāi)始向其客戶(hù)發(fā)布經(jīng)過(guò)驗(yàn)證的修復(fù)程序之前，REvil 附屬公司已經(jīng)掌握了該漏洞的詳細(xì)信息并設(shè)法利用它。

REvil勒索軟件組織聲稱(chēng)已經(jīng)加密了超過(guò)一百萬(wàn)個(gè)系統(tǒng)，并要求支付 7000 萬(wàn)美元贖金。然而，今天，攻擊者又將價(jià)格降至 5000 萬(wàn)美元。

??

這是史上最高的贖金要求，不過(guò)之前的最高贖金記錄也屬于 REvil，當(dāng)時(shí)在攻擊臺(tái)灣電子和電腦制造商宏碁后，就要求支付5000 萬(wàn)美元贖金。

這不是 REvil 勒索軟件第一次被用于攻擊 MSP，2019 年 6 月，REvil 的一個(gè)附屬公司使用其管理軟件通過(guò)遠(yuǎn)程桌面瞄準(zhǔn) MSP，向他們管理的所有客戶(hù)終端傳播了勒索軟件安裝程序。

據(jù)信，同一附屬公司此前曾與 GandCrab 合作，在 2019 年 1 月攻擊了 MSP 的網(wǎng)絡(luò)，當(dāng)時(shí)REvil 組織要求 7000 萬(wàn)美元來(lái)解密鎖定在 Kaseya 攻擊中的系統(tǒng)。

目前Kaseya 發(fā)言人還沒(méi)有評(píng)論該公司是否會(huì)考慮支付 REvil 組織的贖金要求。在撰寫(xiě)本文時(shí)， Kaseya 勒索軟件事件已經(jīng)影響了全球數(shù)千家公司。VSA 設(shè)備是基于 Web 的平臺(tái)，通常由大型公司或托管服務(wù)提供商 (MSP) 用于管理遠(yuǎn)程計(jì)算機(jī)群，REvil 組織就是通過(guò)受感染的 VSA 服務(wù)器轉(zhuǎn)向所有連接的工作站和企業(yè)網(wǎng)絡(luò)。

REvil勒索軟件的技術(shù)分析

REvil 勒索軟件已經(jīng)在黑市上宣傳了三年，它是最多產(chǎn)的 RaaS 操作之一。根據(jù)卡巴斯基實(shí)驗(yàn)室對(duì) REvil 運(yùn)營(yíng)商的追蹤分析，該組織在 2020 年的運(yùn)營(yíng)中賺取了超過(guò) 1 億美元。 該組織的活動(dòng)于 2019 年 4 月在另一個(gè)現(xiàn)已解散的勒索軟件組織 GandCrab 關(guān)閉后首次被觀察到。在本次對(duì)kaseya的攻擊案例中，攻擊者通過(guò) PowerShell 腳本部署了一個(gè)惡意 dropper，而該腳本又通過(guò)供應(yīng)商的代理執(zhí)行：

??

此腳本禁用 Microsoft Defender 的終端保護(hù)功能，然后使用 certutil.exe 實(shí)用程序解碼惡意可執(zhí)行文件 (agent.exe)，該可執(zhí)行文件會(huì)下載一個(gè)合法的 Microsoft 二進(jìn)制文件(MsMpEng.exe，Microsoft Defender 的舊版本)和惡意庫(kù) (mpsvc) .dll)，這是 REvil 勒索軟件的整個(gè)攻擊進(jìn)程。然后，合法的 MsMpEng.exe 通過(guò)使用 DLL 側(cè)加載技術(shù) (T1574.002) 加載此庫(kù)。

??

“agent.exe” dropper 的執(zhí)行流程

截至撰寫(xiě)本文時(shí)，研究人員已經(jīng)觀察到 22 個(gè)國(guó)家/地區(qū)的 5000 多次攻擊企圖。

REvil使用Salsa20對(duì)稱(chēng)流算法加密文件內(nèi)容，并使用橢圓曲線(xiàn)非對(duì)稱(chēng)算法加密密鑰。由于惡意軟件中使用的安全加密方案和實(shí)現(xiàn)，如果沒(méi)有網(wǎng)絡(luò)犯罪分子的密鑰，就不可能解密受此惡意軟件影響的文件。

卡巴斯基產(chǎn)品可防御此威脅并使用以下名稱(chēng)進(jìn)行檢測(cè)：

• UDS:DangerousObject.Multi.Generic
• Trojan-Ransom.Win32.Gen.gen
• Trojan-Ransom.Win32.Sodin.gen
• Trojan-Ransom.Win32.Convagent.gen
• PDM:Trojan.Win32.Generic

??

卡巴斯基TIP查詢(xún)頁(yè)面的0x561CFFBABA71A6E8CC1CDCEDA990EAD4二進(jìn)制文件部分

為了保護(hù)你的公司免受勒索軟件 2.0 攻擊，卡巴斯基專(zhuān)家建議：

• 除非絕對(duì)必要，否則不要將遠(yuǎn)程桌面服務(wù)(例如 RDP)暴露給公共網(wǎng)絡(luò)，并且始終為它們使用強(qiáng)密碼;
• 及時(shí)安裝商用VPN解決方案可用的補(bǔ)丁，為遠(yuǎn)程員工提供訪(fǎng)問(wèn)并充當(dāng)網(wǎng)絡(luò)中的網(wǎng)關(guān);
• 在你使用的所有設(shè)備上保持軟件更新，以防止勒索軟件利用漏洞;

4.把你的防御策略集中在檢測(cè)橫向移動(dòng)和數(shù)據(jù)泄露到互聯(lián)網(wǎng)上，要特別注意流出的流量，以檢測(cè)網(wǎng)絡(luò)罪犯的連接。定期備份數(shù)據(jù)，確保在需要的緊急情況下可以快速訪(fǎng)問(wèn)它。使用最新的威脅情報(bào)信息來(lái)了解攻擊者者使用的實(shí)際TTP。

CISA 和 FBI 也分享了針對(duì) Kaseya 勒索軟件攻擊受害者的指南

CISA 和 FBI已為受 REvil 供應(yīng)鏈勒索軟件攻擊影響的托管服務(wù)提供商 (MSP) 及其客戶(hù)共享了一些安全指南，該攻擊襲擊了 Kaseya 基于云的 MSP 平臺(tái)的系統(tǒng)。

這兩個(gè)聯(lián)邦機(jī)構(gòu)建議受REvil 攻擊影響的 MSP 在周末使用 Kaseya 提供的檢測(cè)工具進(jìn)一步檢查他們的系統(tǒng)是否存在入侵跡象，并在盡可能多的帳戶(hù)上啟用多因素身份驗(yàn)證 (MFA)。

此外，MSP 還應(yīng)實(shí)施許可名單以限制對(duì)其內(nèi)部資產(chǎn)的訪(fǎng)問(wèn)，并使用防火墻或 VPN 保護(hù)其遠(yuǎn)程監(jiān)控工具的管理界面。

CISA 和 FBI 為受影響的 MSP 提供的完整建議列表包括：

• 下載Kaseya VSA檢測(cè)工具，該工具分析系統(tǒng)(VSA服務(wù)器或托管終端)會(huì)確定是否存在任何攻擊指標(biāo)(IoC);
• 在組織控制下的每個(gè)帳戶(hù)上啟用和實(shí)施多因素身份驗(yàn)證(MFA)，并且盡可能為面向客戶(hù)的服務(wù)啟用和實(shí)施MFA;
• 實(shí)施許可名單以將與遠(yuǎn)程監(jiān)控和管理 (RMM) 功能的通信限制為已知 IP 地址;
• 將 RMM 的管理接口置于虛擬專(zhuān)用網(wǎng)絡(luò) (VPN) 或?qū)Ｓ霉芾砭W(wǎng)絡(luò)上的防火墻之后;
• 建議受攻擊影響的 MSP 客戶(hù)盡可能使用和強(qiáng)制執(zhí)行 MFA，并通過(guò)將它們放置在氣隙系統(tǒng)上來(lái)保護(hù)他們的備份。

CISA 和 FBI 建議受影響的 MSP 客戶(hù)：

• 確保備份是最新的，并存儲(chǔ)在與組織網(wǎng)絡(luò)隔離的易于檢索的位置;
• 按照供應(yīng)商修復(fù)指南恢復(fù)手動(dòng)補(bǔ)丁管理流程，包括在新補(bǔ)丁可用時(shí)立即安裝;
• 對(duì)關(guān)鍵網(wǎng)絡(luò)資源管理員帳戶(hù)實(shí)施 MFA 和最小權(quán)限原則;

FBI在周末發(fā)表的一份官方聲明中說(shuō)：

本文翻譯自：

https://www.trendmicro.com/en_us/research/21/g/it-management-platform-kaseya-hit-with-sodinokibi-revil-ransomwa.html https://www.bleepingcomputer.com/news/security/cisa-fbi-share-guidance-for-victims-of-kaseya-ransomware-attack/