大主宰天蚕土豆小说,有声小说,好看的玄幻小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

200家企業(yè)遭遇REvil勒索軟件的MSP供應(yīng)鏈攻擊

周四下午開始，REvil 勒索軟件團(tuán)伙(又名 Sodinokibi)似乎又盯上了擁有數(shù)千名客戶的托管服務(wù)提供商(MSPs)。作為 Kaseya VSA 供應(yīng)鏈攻擊的一部分，目前已知有 8 個(gè)大型的 MSP 遭到了攻擊。據(jù)悉，Kaseya VSA 是一個(gè)基于云的 MSP 平臺(tái)，允許提供商為客戶執(zhí)行補(bǔ)丁管理和客戶端監(jiān)控任務(wù)。

成都創(chuàng)新互聯(lián)專注于石家莊網(wǎng)站建設(shè)服務(wù)及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗(yàn)。熱誠為您提供石家莊營銷型網(wǎng)站建設(shè)，石家莊網(wǎng)站制作、石家莊網(wǎng)頁設(shè)計(jì)、石家莊網(wǎng)站官網(wǎng)定制、小程序設(shè)計(jì)服務(wù)，打造石家莊網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供石家莊網(wǎng)站排名全網(wǎng)營銷落地服務(wù)。

Huntress Labs 的 John Hammond 向 BleepingComputer透露，所有受影響的 MSP 都在使用 Kaseya VSA，且他們有證據(jù)表明他們的客戶也受到了影響，包括 3 個(gè) Huntress 合作伙伴 / 大約 200 家企業(yè)。

截止美東時(shí)間當(dāng)天下午 2 點(diǎn)，此類潛在攻擊似乎僅限于少數(shù)內(nèi)部部署客戶。但 Kaseya 還是在網(wǎng)站上發(fā)布了安全公告，警告所有 VSA 客戶立即關(guān)閉他們的服務(wù)器，以防止事態(tài)的進(jìn)一步蔓延。

目前我們正在非常謹(jǐn)慎地調(diào)查時(shí)間的根本原因，但在收到進(jìn)一步的通知之前，建議大家立即關(guān)閉自家的 VSA 服務(wù)器。

該操作至關(guān)重要，還請立即執(zhí)行，因?yàn)楣粽咦龅牡谝患?，就是關(guān)上 VSA 管理訪問的大門。

執(zhí)行 REvil 勒索軟件的 PowerShell 命令(圖 via Reddit)

在致 BleepingComputer 的一份聲明中，Kaseya 表示他們已經(jīng)關(guān)閉了自家的 SaaS 服務(wù)器，并且正在與其它安全公司合作調(diào)查這一事件。

此外大多數(shù)勒索軟件加密攻擊都選在了周末的深夜進(jìn)行，因?yàn)槟菚r(shí)負(fù)責(zé)網(wǎng)絡(luò)監(jiān)控的人手最少。鑒于本次攻擊發(fā)生在周五中午，攻擊者很可能瞄準(zhǔn)這周末發(fā)起更大范圍的行動(dòng)。

agent.exe 可執(zhí)行文件的簽名

John Hammond 與 Sophos 的 Mark Loman 都向 BleepingComputer 透露，針對(duì) MSP 的攻擊，似乎是通過 Kaseya VSA 發(fā)起的供應(yīng)鏈攻擊。

前者稱，Kaseya VSA 會(huì)將 agent.crt 文件放到 c:\kworking 文件夾中，并作為“Kaseya VSA Agent Hot-fix”更新來分發(fā)。

然后借助合法的 Windowscertutil.exe 這個(gè) PowerShell 命令對(duì) agent.crt 文件進(jìn)行解碼，并將 agent.exe 文件提取到同一文件夾中。

agent.exe 使用了來自“PB03 TRANSPORT LTD”的簽名證書，輔以嵌入的“MsMpEng.exe”和“mpsvc.dll”(后面這個(gè)動(dòng)態(tài)鏈接庫文件又被 REvil 勒索軟件的加密器所使用)。

agent.exe 提取并啟動(dòng)的嵌入式資源代碼

MsMPEng.exe 是合法的 Microsoft Defender 可執(zhí)行文件的舊版本，它被當(dāng)做 LOLBin 以調(diào)用動(dòng)態(tài)鏈接庫(DLL)文件，并通過受信任的可執(zhí)行文件進(jìn)行加密。

此外一些樣本還向受感染的計(jì)算機(jī)注入了帶有政治色彩的 Windows 注冊表項(xiàng)及配置更改，比如 BleepingComputer 就在 [VirusTotal] 樣本中看到了 BlackLivesMatter 密鑰被用于存儲(chǔ)來自攻擊者的配置信息。

若不幸中招，勒索軟件團(tuán)伙會(huì)向受害者索取 500 萬美元的贖金，以獲得針對(duì)其中一個(gè)樣本的解密器。

而且通常 REvil 會(huì)在部署文件加密型勒索軟件前竊取受害者的數(shù)據(jù)，但目前尚不清楚本次攻擊有泄露哪些文件。

網(wǎng)站標(biāo)題：200家企業(yè)遭遇REvil勒索軟件的MSP供應(yīng)鏈攻擊
網(wǎng)頁路徑：http://fisionsoft.com.cn/article/ccocijj.html

新聞中心

其他資訊