《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > Kaseya軟件供應(yīng)鏈勒索攻擊的規(guī)模和細(xì)節(jié)浮現(xiàn)

Kaseya軟件供應(yīng)鏈勒索攻擊的規(guī)模和細(xì)節(jié)浮現(xiàn)

2021-07-10
來(lái)源:網(wǎng)空閑話
關(guān)鍵詞: Kaseya 勒索攻擊

Kaseya軟件供應(yīng)鏈勒索軟件攻擊事件持續(xù)發(fā)酵,眾多網(wǎng)絡(luò)安全團(tuán)隊(duì)目前仍在積極工作,以阻止有記錄以來(lái)全球規(guī)模最大的一次勒索軟件攻擊的影響,。這個(gè)與俄羅斯有關(guān)聯(lián)的犯罪團(tuán)伙是如何攻破軟件公司的,,一些細(xì)節(jié)正在浮出。美國(guó)FBI已發(fā)布安全警報(bào),并聯(lián)合CISA發(fā)布緩解措施及應(yīng)對(duì)指南。總統(tǒng)表示,,如果證實(shí)與俄羅斯關(guān)聯(lián),美國(guó)將會(huì)采取嚴(yán)厲措施,。

微信圖片_20210710170409.jpg

  勒索事件影響

  網(wǎng)絡(luò)安全研究人員說(shuō),,臭名昭著的“雷維”(REvil)團(tuán)伙的一個(gè)分支,在7月2日感染了至少17個(gè)國(guó)家的數(shù)千名受害者,,主要是通過(guò)為多個(gè)客戶遠(yuǎn)程管理IT基礎(chǔ)設(shè)施的公司,。

  瑞典連鎖超市Coop表示,由于收銀機(jī)軟件供應(yīng)商的癱瘓,,其800家門店中的大部分周日將進(jìn)入第二天關(guān)閉,。瑞典一家連鎖藥店、連鎖加油站,、國(guó)家鐵路和公共廣播公司SVT也受到了影響,。

  德新社(dpa)報(bào)道稱,在德國(guó),,一家未透露姓名的IT服務(wù)公司告訴當(dāng)局,,它的數(shù)千名客戶受到了侵害。據(jù)報(bào)道,,受害者還包括兩家荷蘭IT服務(wù)公司——VelzArt和Hoppenbrouwer Techniek,。大多數(shù)勒索軟件受害者不會(huì)公開報(bào)告攻擊或披露他們是否支付了贖金,。

  被入侵的軟件公司Kaseya的首席執(zhí)行官Voccola估計(jì)受害者人數(shù)在幾千人左右,,主要是像“牙科診所、建筑公司,、整形手術(shù)中心,、圖書館等”這樣的小企業(yè)。Kaseya表示,,它在3日晚上向近900名客戶發(fā)送了一款檢測(cè)工具,。

  Kaseya表示,,攻擊只影響“內(nèi)部”客戶,即運(yùn)行自己數(shù)據(jù)中心的組織,,而不是為客戶運(yùn)行軟件的云服務(wù),。不過(guò),作為預(yù)防措施,,它也關(guān)閉了這些服務(wù)器,。

  Kaseya于當(dāng)?shù)貢r(shí)間2日呼吁客戶立即關(guān)閉他們的VSA服務(wù)器,4日說(shuō)希望在未來(lái)幾天有一個(gè)補(bǔ)丁,。

  Voccola在一次采訪中表示,,公司的3.7萬(wàn)名客戶中,只有50-60人受到了影響,。但70%是管理服務(wù)提供商,,他們使用該公司被黑的VSA軟件來(lái)管理多個(gè)客戶。它自動(dòng)安裝軟件和安全更新,,并管理備份和其他重要任務(wù),。

  研究人員說(shuō),REvil索要高達(dá)500萬(wàn)美元的贖金,。但4日晚些時(shí)候,,該公司在其暗網(wǎng)站上發(fā)布了一個(gè)通用解密軟件密鑰,該密鑰可以破解所有受影響的機(jī)器,,換取價(jià)值7000萬(wàn)美元的加密貨幣,。

  美國(guó)政府反應(yīng)

  早些時(shí)候,聯(lián)邦調(diào)查局在一份聲明中表示,,雖然它正在調(diào)查這次襲擊,,但其規(guī)模“可能使我們無(wú)法對(duì)每個(gè)受害者單獨(dú)作出回應(yīng),?!备眹?guó)家安全顧問(wèn)安妮·紐伯格(Anne Neuberger)隨后發(fā)表聲明稱,美國(guó)總統(tǒng)喬·拜登(Joe Biden)已“指示政府動(dòng)用全部資源調(diào)查這起事件”,,并敦促所有認(rèn)為自己受到影響的人通知聯(lián)邦調(diào)查局,。

微信圖片_20210710170413.jpg

微信圖片_20210710170418.jpg

  拜登當(dāng)?shù)貢r(shí)間7月3表示,如果確定克里姆林宮參與其中,,美國(guó)將做出回應(yīng),。

  不到一個(gè)月前,拜登曾向俄羅斯總統(tǒng)普京(Vladimir Putin)施壓,,要求其停止為REvil和其他勒索軟件團(tuán)伙提供安全庇護(hù),,美國(guó)認(rèn)為這些團(tuán)伙的無(wú)情勒索攻擊是對(duì)美國(guó)國(guó)家安全的威脅。

  針對(duì)利用 Kaseya VSA 軟件中的漏洞針對(duì)多個(gè)托管服務(wù)提供商 (MSP) 及其客戶的供應(yīng)鏈勒索軟件攻擊,CISA 和聯(lián)邦調(diào)查局 (FBI) 發(fā)布了緩解措施及應(yīng)對(duì)指南,。

微信圖片_20210710170421.jpg

  網(wǎng)絡(luò)安全公司評(píng)析

  網(wǎng)絡(luò)安全公司Sophos報(bào)道稱,,在最近的這次攻擊中,很多企業(yè)和公共機(jī)構(gòu)都受到了攻擊,,顯然遍布各大洲,,包括金融服務(wù)、旅游,、休閑和公共部門,,但很少有大公司受到攻擊。勒索軟件罪犯滲透網(wǎng)絡(luò),,播下惡意軟件,,擾亂他們的所有數(shù)據(jù),使他們癱瘓,。受害者付錢后會(huì)得到解碼密鑰,。

  專家說(shuō),REvil在7月4日的周末假期開始時(shí)發(fā)動(dòng)了攻擊,,當(dāng)時(shí)他們知道美國(guó)辦公室將會(huì)人手不足,,這并非巧合。許多受害者可能直到周一上班后才知道這件事,。大多數(shù)管理服務(wù)提供商的終端用戶“不知道”是誰(shuí)的軟件讓他們的網(wǎng)絡(luò)保持運(yùn)轉(zhuǎn),,Voccola說(shuō),

  網(wǎng)絡(luò)安全公司Recorded Future的分析師艾倫·里斯卡(Allan Liska)說(shuō),,REvil以7000萬(wàn)美元的價(jià)格為Kaseya攻擊的所有受害者提供全面解密,,這表明該公司無(wú)力應(yīng)對(duì)受感染網(wǎng)絡(luò)的龐大數(shù)量。盡管分析師報(bào)告稱,,對(duì)更大目標(biāo)的需求分別為500萬(wàn)美元和50萬(wàn)美元,,但大多數(shù)目標(biāo)的需求顯然為4.5萬(wàn)美元。

  “這次襲擊比他們預(yù)期的要嚴(yán)重得多,,因此得到了很多關(guān)注,。迅速結(jié)束這一交易符合REvil的利益?!薄斑@簡(jiǎn)直是一場(chǎng)噩夢(mèng),。”

  Emsisoft的分析師布雷特,?卡洛(Brett Callow)表示,,他懷疑REvil是希望保險(xiǎn)公司能夠仔細(xì)分析這些數(shù)字,并確定7000萬(wàn)美元的保險(xiǎn)費(fèi)用將比延長(zhǎng)停機(jī)時(shí)間更便宜,。

  復(fù)雜的勒索軟件團(tuán)伙在啟動(dòng)勒索軟件之前,,通常會(huì)檢查受害者的財(cái)務(wù)記錄——如果能找到的話,,還會(huì)檢查他們的保單,。犯罪分子然后威脅說(shuō),,如果不支付贖金,就把偷來(lái)的數(shù)據(jù)發(fā)布到網(wǎng)上,。在這次襲擊中,,這種情況似乎沒有發(fā)生。

  荷蘭研究人員稱,,他們向總部位于邁阿密的Kaseya報(bào)警,,稱犯罪分子使用了“零日”(zero day,這個(gè)行業(yè)術(shù)語(yǔ),,指之前未知的軟件安全漏洞)漏洞,。Voccola不愿證實(shí)此事,也不愿提供泄露的細(xì)節(jié),,只是說(shuō)這不是網(wǎng)絡(luò)釣魚,。這里的復(fù)雜程度非同一般,“他說(shuō),。

  網(wǎng)絡(luò)安全公司Mandiant完成調(diào)查后,,Voccola說(shuō),他相信調(diào)查將顯示,,犯罪分子不僅違反了Kaseya的代碼,,侵入了他的網(wǎng)絡(luò),而且還利用了第三方軟件的漏洞,。

  荷蘭漏洞研究人員維克托·格弗斯(Victor Gevers)表示,,他的團(tuán)隊(duì)對(duì)Kaseya的VSA這樣的產(chǎn)品感到擔(dān)憂,因?yàn)樗鼈兛梢蕴峁?duì)巨大計(jì)算資源的全面控制,。他在7月4日的一篇博客中寫道:”越來(lái)越多用于保證網(wǎng)絡(luò)安全的產(chǎn)品正顯示出結(jié)構(gòu)性弱點(diǎn),。“

  網(wǎng)絡(luò)安全公司ESET確認(rèn)了至少17個(gè)國(guó)家的受害者,,包括英國(guó),、南非、加拿大,、阿根廷,、墨西哥、印度尼西亞,、新西蘭和肯尼亞,。

  卡巴斯基表示,REvil又名Sodinokibi,,該勒索軟件團(tuán)伙對(duì)管理服務(wù)提供商(MSPs)及其客戶端實(shí)施了攻擊,。一些受害者是通過(guò)流行的MSP軟件入侵的,導(dǎo)致他們的客戶加密。加密企業(yè)的總數(shù)可能達(dá)到數(shù)千家,。

  REvil使用Salsa20對(duì)稱流算法加密文件內(nèi)容,,并使用橢圓曲線非對(duì)稱算法加密密鑰。如果沒有網(wǎng)絡(luò)罪犯的密鑰,,受此惡意軟件影響的文件解密是不可能的,,因?yàn)樵趷阂廛浖惺褂昧税踩募用芊桨浮?/p>

  REvil勒索組織自2019年4月開始運(yùn)營(yíng),提供”勒索軟件即服務(wù)“(ransomware-a-service),,這意味著該公司開發(fā)了能導(dǎo)致網(wǎng)絡(luò)癱瘓的軟件,,并將其出租給感染目標(biāo)的所謂附屬公司,從而賺取最大份額的贖金,。美國(guó)官員說(shuō),,最強(qiáng)大的勒索軟件團(tuán)伙以俄羅斯及其盟國(guó)為基地,在克里姆林宮的容忍下運(yùn)作,,有時(shí)還與俄羅斯安全機(jī)構(gòu)勾結(jié),。

  西爾維拉多政策加速器(Silverado Policy Accelerator)智庫(kù)的網(wǎng)絡(luò)安全專家德米特里·阿爾佩羅維奇(Dmitri Alperovitch)說(shuō),雖然他不認(rèn)為對(duì)Kaseya的攻擊是克里姆林宮指使的,,但這表明普京”尚未采取行動(dòng)“打擊網(wǎng)絡(luò)犯罪分子,。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問(wèn)題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。