一起大规模的REvil勒索软件攻击据称通过Kaseya供应链攻击,影响了多家托管服务提供商(MSP)及其客户。
从7月3日下午开始,REvil勒索软件团伙(又名Sodinokibi)通过一起Kaseya VSA供应链攻击,攻击了多家拥有成千上万客户的MSP。
目前,已知有八家大型MSP因这次供应链攻击而中招。
Kaseya VSA是一个基于云的MSP平台,让提供商们可以为客户执行补丁管理和客户端监控任务。
Huntress Labs的John Hammond告诉安全外媒BleepingComputer,所有受影响的MSP都在使用Kaseya VSA,有证据表明他们客户的设备也被加密。
Hammond告诉BleepingComputer:“我们有三个Huntress合作伙伴受到了影响,大约200家公司的设备被加密了。”
Kaseya在技术帮助网站上发布了一份安全公告,警告所有VSA客户应立即关闭VSA服务器,以防攻击在调查过程中蔓延开来。
“截至今天美国东部时间下午2:00,我们遭到了一起针对VSA的潜在攻击,攻击仅限于少数本地环境客户。
我们正在非常谨慎地调查事件的根本原因,但我们建议您立即关闭 VSA 服务器,直至您收到我们的进一步通知。
立即执行此操作至关重要,因为攻击者所做的头一件事就是关闭管理员访问VSA的通道。”
Kaseya在发给BleepingComputer的声明中表示,它已关闭其SaaS服务器,正在与其他安全公司共同调查此事件。
大多数大规模勒索软件攻击都是在周末夜间进行的,这个时段监控网络的人员比较少。
由于这次攻击发生在周五中午,威胁分子可能计划特意选在美国的7月4日周末作案,节假日前的工作日时间较短很常见。
REvil攻击通过自动更新来传播
Huntress的John Hammond和Sophos的Mark Loman都告诉BleepingComputer,针对MSP的攻击似乎是通过Kaseya VSA发动的一起供应链攻击得逞的。
据Hammond声称,Kaseya VSA会将agent.crt文件放到c:\kworking文件夹中,该文件作为一个名为“Kaseya VSA Agent Hot-fix”的更新来加以分发。
随后启动PowerShell命令,使用正规的Windows certutil.exe命令对agent.crt文件进行解码,并将agent.exe文件提到到同一文件夹中。
执行REvil勒索软件的PowerShell命令
agent.exe使用来自“PB03 TRANSPORT LTD”的证书进行签名,包括嵌入的“MsMpEng.exe”和“mpsvc.dll”,该DLL文件就是REvil加密器。
已签名的agent.exe文件
MsMPEng.exe是正规的Microsoft Defender可执行文件的旧版本,用作LOLBin以启动 该DLL文件,并通过一个受信任的可执行文件来加密设备。
agent.exe提取并启动嵌入式资源
一些样本向受感染的计算机添加了带有政治意味的Windows注册表键和配置更改。
比如说,BleepingComputer安装的样本 [VirusTotal]添加了 HKLM\SOFTWARE\Wow6432Node\BlackLivesMatter键,以存储来自攻击的配置信息。
Advanced Intel 的Vitali Kremez告诉BleepingComputer,另一个样本将设备配置为使用默认密码“DTrump4ever”来启动REvil安全模式。
Huntress 在Reddit帖子(https://www.reddit.com/r/msp/comments/ocggbv/crticial_ransomware_incident_in_progress/)中继续提供有关这次攻击的更多信息。
勒索软件团伙索要500万美元赎金
BleepingComputer已看到了其中一起攻击中使用的REvil勒索软件样本。然而,不知道这是用于每个受害者的样本,还是每家MSP都收到了勒索要求。
勒索软件团伙索要500万美元的赎金,以便从其中一个样本获得解密工具。
勒索要求
虽然众所周知REvil在部署勒索软件和加密设备之前窃取数据,但尚不清楚攻击者是否泄露了任何文件。
MSP是勒索软件团伙的高价值目标,因为它们提供了一条简易渠道,攻击者通过单单一次攻击就能感染许多公司,不过攻击需要对MSP及其使用的软件有深入了解。
REvil有一个分支机构通晓MSP们使用的技术,因为他们长期以来攻击这些公司及它们常用的软件。
2019年6月,REvil的分支机构通过Remote Desktop攻击了多家MSP,然后使用MSP的管理软件将勒索软件安装程序推送到它们管理的所有端点设备。
据称,这家分支机构之前曾与GandCrab狼狈为奸,后者在2019年1月也成功地对多家MSP发动了攻击。
攻陷指标(IoC)
已知文件哈希:
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
