週五(7月2日),一場勒索軟件攻擊使至少200 家美國公司的網絡癱瘓。
安全公司Huntress Labs 的約翰·哈蒙德說,REvil 集團是一個主要的俄語勒索軟件集團,似乎是這次襲擊的幕後黑手。他說,犯罪份子的目標是一家名為Kaseya 的軟件供應商,利用其網絡管理包作為渠道,通過雲服務提供商傳播勒索軟件。其他研究人員同意哈蒙德的評估。
哈蒙德在一條推文中說:“Kaseya 在全球範圍處理的既有大企業,也有小公司,因此最終,這有可能擴展到任何規模的企業。”
哈蒙德說: “這是一次巨大且有毀滅性的供應鏈攻擊。”
此類網絡攻擊通常會滲透到廣泛使用的軟件中,並在惡意軟件自動更新時傳播。
目前尚不清楚有多少Kaseya 客戶可能會受到影響,或者他們可能是誰。Kaseya 在其網站上的一份聲明中敦促客戶立即關閉運行受影響軟件的服務器。該公司表示,此次攻擊僅限於“少數”客戶。
'帶有勒索軟件的SolarWinds'
網絡安全公司Emsisoft 的勒索軟件專家布雷特·卡洛(Brett Callow) 表示,他不知道以前是否發生過如此大規模的勒索軟件供應鏈攻擊。他說,曾經發生過一些,但它們相當小。
“這是帶有勒索軟件的SolarWinds,”他說。他指的是去年12 月發現的俄羅斯網絡間諜黑客活動,該活動通過感染網絡管理軟件進行傳播,以滲透到美國聯邦機構和數十家公司。
Rendition Infosec 總裁網絡安全研究員傑克·威廉姆斯表示,他已經與六家受到勒索軟件襲擊的公司合作。他說,這發生在7 月4 日週末之前並非偶然,因為那時IT 人員普遍很少。
他說:“在我看來,從時機看是有意為之的,這一點毋庸置疑。”
Huntress的哈蒙德說,他知道四家為多個客戶託管IT基礎設施的公司受到勒索軟件的攻擊,該軟件會對網絡進行加密,直到受害者支付攻擊者索要的費用。他說,有數千台電腦被攻擊。
哈蒙德說:“我們目前有三個Huntress合作夥伴,大約有200 家企業已經被加密。”
JBS攻擊
哈蒙德在推文中寫道:“根據我們現在看到的一切,我們堅信這是REvil/Sodinikibi。” FBI 將同一勒索軟件提供商與5 月份對全球主要肉類加工商JBS SA的攻擊聯繫起來。
聯邦網絡安全和基礎設施安全局在周五晚些時候發出的一份聲明中表示,它正在密切監視局勢,並與FBI 合作收集有關其影響的更多信息。
CISA 敦促任何可能受到影響的人“按照Kaseya 的指導立即關閉VSA 服務器”。Kaseya 運行所謂的虛擬系統管理員或VSA,用於遠程管理和監控客戶的網絡。
私人控股的Kaseya 表示,其總部位於愛爾蘭都柏林,美國總部位於邁阿密。《邁阿密先驅報》最近在一篇關於該公司因近期收購網絡安全平台,因而計劃到2022 年僱用多達500 名員工的報導中,將該公司稱作“邁阿密最古老的科技公司之一”。
愛爾蘭網絡安全顧問布賴恩·霍南(Brian Honan) 週五在電子郵件中表示:“這是一次典型的供應鏈攻擊,犯罪分子損害了一家值得信賴的公司供應商,並濫用這種信任來攻擊他們的客戶。”
他說,小型企業可能很難抵禦這種類型的攻擊,因為它們“依賴供應商的安全性以及這些供應商使用的軟件”。
恢復可能更容易
Rendition Infosec 的威廉姆斯說,唯一的好消息是,“我們的許多客戶並沒有在其網絡中的每台電腦上都安裝Kaseya”,這使得攻擊者更難全面掌控該機構的計算機系統。
他說,這使得恢復更容易。
自2019 年4 月開始活躍的REvil 組織提供“用於服務的勒索軟件”,這意味著它開發網絡癱瘓軟件並將其出租給所謂的附屬機構,這些附屬機構感染目標並賺取大部分贖金。
REvil 是在在激活勒索軟件之前從目標機構竊取數據以加大勒索籌碼的勒索軟件團伙之一。Palo Alto Networks網絡安全公司在最近的一份報告中表示,去年向該組織支付的平均贖金約為50 萬美元。
一些網絡安全專家預測,鑑於受害者人數眾多,該團伙可能難以處理贖金談判,但美國的長周末假期可能會給它更多準備時間。
(本文依據了美聯社的報導)
