事實上,這并不是網絡犯罪分子和勒索軟件團伙第一次將MSP作為訪問企業網絡的“入口”。然而,對于許多組織而言,防御這種攻擊媒介并不容易,因為外包IT管理就意味著要為MSP提供對其網絡和系統的高度特權訪問。
Kaseya VSA攻擊的影響
7月2日(上周五),針對Kaseya VSA服務器的攻擊事件出現在了美國。攻擊者可能是故意選擇在重大節假日(7.3-7.5日為美國獨立日假期)或周末之前發動攻擊,目的是希望安全團隊的響應速度會慢一些,因為在美國,員工在假期前的工作時長縮短是很常見的。
Kaseya在一份報告中表示,“我們的客戶中只有很小一部分受到了影響——目前估計全球不到 40家。我們確信已經掌握了漏洞來源,并正在為我們的本地部署客戶準備一個補丁進行緩解。我們會在完成徹底的測試之后,盡快發布該補丁,以使我們的客戶恢復正常運行。”
目前,該公司已經關閉了VSA的SaaS版本,但指出其云托管服務的客戶并未面臨風險。 Kaseya VSA是一種IT遠程監控和管理(RMM)解決方案,IT和網絡管理員可以使用它來自動修補端點和服務器、管理備份和防病毒部署、自動執行其他IT流程以及遠程解決和排除IT問題。而為了能夠執行所有這些任務,Kaseya VSA 軟件必須以管理員級別的訪問權限運行。
據Kaseya介紹,其RMM解決方案擁有超過36000名用戶,因此受影響的客戶不到40家聽起來確實是一個小數字。但是,根據第三方報告指出,許多受影響的客戶是MSP,它們使用Kaseya VSA來管理數百家企業的系統和網絡。
托管威脅檢測和響應供應商Huntress的高級安全研究員John Hammond在一篇博文中表示,“我們正在跟蹤美國、澳大利亞、歐盟和拉丁美洲的約 30個MSP,發現其中許多企業與Kaseya VSA存在合作關系,而攻擊者已經通過Kaseya VSA加密了超過1000家企業。所有這些VSA服務器都是本地部署,Huntress 已確認網絡犯罪分子已經利用了SQLi 漏洞,并且非常有信心使用身份驗證繞過漏洞來訪問這些服務器。”
Kaseya正在修復這些漏洞
根據荷蘭漏洞披露研究所 (DIVD) 的說法,其研究人員已經在上周末發現了攻擊中使用的一些零日漏洞,并已將這些信息報告給了Kaseya,以便其盡早開發出補丁程序。
DIVD主席兼研究主管Victor Gevers稱,“在整個過程中,Kaseya已經表明他們愿意在該事件中付出最大的努力和主動性來解決這個問題并幫助客戶完成漏洞修復,他們做出了明確且真誠的承諾。值得警惕的是,攻擊者可以在客戶完成修復之前繼續利用這些漏洞。”
據Gevers稱,DIVD一直在與國家CERTS和其他合作伙伴合作,以識別和聯系公開暴露的 Kaseya VSA服務器的用戶,并指出公開暴露的實例數量已經從最初的2200下降到不足140。
在補丁準備好之前,Kaseya 建議客戶不要開啟他們的本地VSA 服務器。但是,該公司發布了一種入侵檢測工具,可用于掃描VSA服務器或Kaseya管理的端點,以查找此次攻擊的入侵跡象。
REvil及其部署方式
REvil,也稱為Sodinokibi,是一種出現于2019年4月的勒索軟件威脅,并在另一個名為 GandCrab的RaaS團伙關閉其服務后聲名鵲起。REvil 作為勒索軟件即服務(RaaS)平臺運營,通過招募合作伙伴進行攻擊和勒索加密,最后各方進行分成。在過去的一年里,REvil 已經成為感染企業網絡最常見的勒索軟件之一。由于惡意軟件由不同的“會員”分發,因此初始訪問向量以及攻擊者在網絡內采取的行動各不相同。
根據安全研究員Kevin Beaumont的說法,一旦攻擊者通過利用零日漏洞獲得對Kaseya VSA實例的訪問權限,他們就會立即停止管理員對該軟件的訪問權限,以防止攻擊被阻止。然后,他們會設置一個名為“Kaseya VSA Agent Hot-fix”的任務,將偽造的Kaseya代理更新推送到通過該軟件管理的系統中。
這個虛假更新實際上就是REvil 勒索軟件。需要明確的是,這意味著非Kaseya客戶的組織仍可能會被加密。
鑒于Kaseya文檔建議客戶從防病毒掃描中排除安裝了VSA遠程管理代理及其組件的文件夾,因此該惡意更新的部署可以進一步推進。
安裝后,REvil勒索軟件會執行PowerShell命令,禁用Microsoft Defender for Endpoint的幾個重要功能:實時監控、IPS、云查找、腳本掃描、受控文件夾訪問(勒索軟件預防)、網絡保護和云樣本提交。該惡意軟件還會試圖篡改其他供應商(包括 Sophos)的防病毒產品,并禁用各種備份系統。
該勒索網站托管在Tor網絡上,贖金貨幣為門羅幣(Monero)。HitmanPro惡意軟件分析師 Mark Loman分享的屏幕截圖顯示,贖金金額為 50000 美元。但有報道稱,與此次攻擊相關的贖金要求為500萬美元。一般來說,勒索軟件團伙會根據他們對受害者年收入的了解來調整勒索金額。
MSP和遠程管理工具并不是新攻擊目標
針對MSP及其使用的管理軟件(例如 Kaseya)的攻擊并不是什么新現象。 2018年1月,安全公司eSentire報告稱,攻擊者通過Kaseya VSA中的漏洞攻擊了其眾多客戶,目的是在他們的系統上部署加密貨幣挖掘惡意軟件。Kaseya 隨后就發布了一個補丁來解決該漏洞。
2019年8月,REvil勒索軟件團伙設法破壞了一家位于德克薩斯州的MSP(名為TSM Consulting Services),并向其客戶部署了勒索軟件,影響了德克薩斯州的22個城市。
同年早些時候,勒索軟件組織利用ConnectWise ManagedITSync integration(一種旨在在 ConnectWise Manage PSA 和 Kaseya VSA RMM 之間同步數據的實用程序)中的一個舊漏洞來破壞MSP。安全公司Armor Defense的一份報告指出,2019年有13個MSP和云服務提供商受到攻擊,導致眾多市政當局、學區和私營企業的系統感染了勒索軟件。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號