周五(7月2日),一场勒索软件攻击使至少 200 家美国公司的网络瘫痪。
安全公司 Huntress Labs 的约翰·哈蒙德说,REvil 团伙是一个主要的俄语勒索软件集团,似乎是这次袭击的幕后黑手。他说,犯罪分子的目标是一家名为 Kaseya 的软件供应商,利用其网络管理包作为渠道,通过云服务提供商传播勒索软件。其他研究人员同意哈蒙德的评估。
哈蒙德在一条推文中说:“Kaseya 在全球范围处理的既有大企业,也有小公司,因此最终,这有可能扩展到任何规模的企业。”
哈蒙德说: “这是一次巨大且有毁灭性的供应链攻击。”
此类网络攻击通常会渗透到广泛使用的软件中,并在恶意软件自动更新时传播。
目前尚不清楚有多少 Kaseya 客户可能会受到影响,或者他们可能是谁。Kaseya 在其网站上的一份声明中敦促客户立即关闭运行受影响软件的服务器。该公司表示,此次攻击仅限于“少数”客户。
'带有勒索软件的 SolarWinds'
网络安全公司 Emsisoft 的勒索软件专家布雷特·卡洛 (Brett Callow) 表示,他不知道以前是否发生过如此大规模的勒索软件供应链攻击。他说,曾经发生过一些,但它们相当小。
“这是带有勒索软件的 SolarWinds,”他说。他指的是去年 12 月发现的俄罗斯网络间谍黑客活动,该活动通过感染网络管理软件进行传播,以渗透到美国联邦机构和数十家公司。
他说:“在我看来,从时机看是有意为之的,这一点毋庸置疑。”
Huntress的哈蒙德说,他知道四家为多个客户托管 IT基础设施的公司受到勒索软件的攻击,该软件会对网络进行加密,直到受害者支付攻击者索要的费用。他说,有数千台电脑被攻击。
哈蒙德说:“我们目前有三个Huntress合作伙伴,大约有200 家企业已经被加密。”
JBS攻击
哈蒙德在推文中写道:“根据我们现在看到的一切,我们坚信这是REvil/Sodinikibi。” FBI 将同一勒索软件提供商与 5 月份对全球主要肉类加工商JBS SA的攻击联系起来。
联邦网络安全和基础设施安全局在周五晚些时候发出的一份声明中表示,它正在密切监视局势,并与 FBI 合作收集有关其影响的更多信息。
CISA 敦促任何可能受到影响的人“按照 Kaseya 的指导立即关闭 VSA 服务器”。 Kaseya 运行所谓的虚拟系统管理员或 VSA,用于远程管理和监控客户的网络。
私人控股的 Kaseya 表示,其总部位于爱尔兰都柏林,美国总部位于迈阿密。 《迈阿密先驱报》最近在一篇关于该公司因近期收购网络安全平台,因而计划到 2022 年雇用多达 500 名员工的报道中,将该公司称作“迈阿密最古老的科技公司之一”。
爱尔兰网络安全顾问布赖恩·霍南 (Brian Honan) 周五在电子邮件中表示:“这是一次典型的供应链攻击,犯罪分子损害了一家值得信赖的公司供应商,并滥用这种信任来攻击他们的客户。”
他说,小型企业可能很难抵御这种类型的攻击,因为它们“依赖供应商的安全性以及这些供应商使用的软件”。
恢复可能更容易
Rendition Infosec 的威廉姆斯说,唯一的好消息是,“我们的许多客户并没有在其网络中的每台电脑上都安装 Kaseya”,这使得攻击者更难全面掌控该机构的计算机系统。
他说,这使得恢复更容易。
自 2019 年 4 月开始活跃的 REvil 组织提供“用于服务的勒索软件”,这意味着它开发网络瘫痪软件并将其出租给所谓的附属机构,这些附属机构感染目标并赚取大部分赎金。
REvil 是在在激活勒索软件之前从目标机构窃取数据以加大勒索筹码的勒索软件团伙之一。Palo Alto Networks网络安全公司在最近的一份报告中表示,去年向该组织支付的平均赎金约为 50 万美元。
一些网络安全专家预测,鉴于受害者人数众多,该团伙可能难以处理赎金谈判,但美国的长周末假期可能会给它更多准备时间。
(本文依据了美联社的报道)