信息來源：51CTO

美國東部時間7月2日，勒索組織REvil利用IT軟件供應商Kaseya發(fā)起供應鏈攻擊，預計有數(shù)千家公司中招。

REvil勒索軟件組織利用零日漏洞攻擊了Kaseya基于云的MSP平臺(管理服務提供商)，破壞其VSA基礎設施，然后向VSA內(nèi)部服務器推送惡意更新，在企業(yè)網(wǎng)絡上部署勒索軟件，導致Kaseya的客戶遭供應鏈攻擊。

預計1000家企業(yè)受影響

7月3日，美國總統(tǒng)拜登下令情報機構全面調(diào)查此次攻擊事件。據(jù)安全公司Huntress Labs稱，至少有1000家企業(yè)或機構受到影響，這使得這次事件成為歷史上最大的勒索軟件攻擊之一。

Kaseya 發(fā)表聲明稱，其事件響應團隊發(fā)現(xiàn)VSA軟件可能被入侵。VSA軟件運行在企業(yè)服務器、計算機和網(wǎng)絡設備上，屬于外包技術。Kaseya督促使用VSA軟件的客戶立即關閉服務器。

Kaseya首席執(zhí)行官Fred Voccola在一封電子郵件中向媒體表示，只有不到40家使用VSA軟件的客戶受到該事件影響。但是，這40家客戶大多是管理服務提供商，利用VSA軟件承接了很多其他公司的外包服務。

Fred Voccola稱公司已經(jīng)確定了漏洞的來源，并準備發(fā)布補丁。在此期間，公司會關閉所有內(nèi)部VSA服務器、SaaS和托管VSA服務器，直到恢復安全運營。

荷蘭漏洞披露研究所(DIVD)披露了這次供應鏈攻擊的細節(jié)，研究所向該公司報告了一個被追蹤為CVE-2021-30116的零日漏洞。REvil正是利用該漏洞攻擊Kaseya的VSA服務器。

據(jù)Sophos惡意軟件分析師Mark Loman表示，REvil利用Kaseya VSA在受害者的環(huán)境中部署勒索軟件的變體，通過偽造的Windows Defender應用程序側加載惡意二進制代碼，加密文件，并向受害者開出500萬美元的贖金。

安全公司Huntress Labs在Reddit上發(fā)布了一篇帖子，詳細介紹此次入侵的工作原理，該木馬軟件以Kaseya VSA Agent Hot-fix的形式發(fā)布。

Huntress Labs表示，他們正在追蹤來自美國、澳大利亞、歐盟、和拉丁美洲的近30家管理服務提供商。

隨著勒索軟件危機的持續(xù)升級，管理服務提供商已經(jīng)成為一個有利可圖的目標，主要是因為一次成功的入侵可以訪問供應鏈上多家企業(yè)，將整條供應鏈的企業(yè)置于易受攻擊的風險中。

瑞典連鎖超市中招

勒索組織對美國公司Kaseya的攻擊給瑞典的食品零售業(yè)、藥店和火車票銷售企業(yè)帶來了20%的損失。有意思的是，這些企業(yè)甚至不是Kaseya的直接客戶。

在Kaseya受攻擊后，瑞典最大的連鎖超市品牌Coop確認其一個承包商被勒索軟件攻擊，全國近800家門店的收銀機和自助服務出現(xiàn)故障無法處理付款，導致門店被迫關閉。

Coop的軟件供應商之一 Visma Esscom確認，他們受到了Kaseya事件的影響。7月3日，Coop決定將旗下500多家受嚴重影響的門店暫時關閉運營一天。