REvil发动史上最高赎金勒索攻击,全球超1000家公司被突袭!360强势出击解隐忧
近日REvil勒索团伙在暗网发布了一则声明:周五(2021.07.02)我们对MSP供应商发起了攻击。超过100万个系统被感染。如果任何人想要协商通用解密器,我们的价格是7000万美元的BTC,我们将公开发布解密器,解密所有受害者的文件,所以每个系统都能在不到一小时内从攻击中恢复。如果您对此类交易感兴趣-请使用受害者系统中留下的“readme”文档与我们联系。
除通用解密器的报价,REvil还对不同类型的受害者报出不同赎金,针对MSP(管理服务提供商)向受害者索要500万美元、向MSP的客户索要4万到4.5万美元作为赎金。
随后,Kaseya公司也发布声明,确认了其下产品 KASEYA VSA 被 REvil 黑客组织发起供应链攻击,据国外安全调查,在美国、澳大利亚、欧盟和拉丁美洲的约 30 个托管服务商中,因Kaseya VSA被加密勒索而受波及的企业超过1,000家。其中瑞典最大连锁超市Coop因此次事件导致收银系统被感染, 500家商店被迫关闭。这次攻击是近年来除WannaCry外感染设备量最大,索要赎金最多的勒索病毒感染事件。
360安全大脑分析研判REvil连用3个0day实现勒索攻击
Kaseya VSA是一款IT运维管理平台软件,被很多服务器托管商用来管理企业计算机设备。在此次攻击事件,REvil黑客团伙利用Kaseya VSA产品中的0Day漏洞对本地客户端部署勒索病毒的方式,针对相关企业发起了大规模勒索攻击。攻击过程如下图所示:
根据360安全大脑的漏洞研判分析,攻击者使用了至少3个0Day漏洞完成攻击。相关漏洞详情如下:
CVE-2021-30116: VSA SQL注入漏洞
简述: VSA管理程序Endpoint中存在多处SQL注入漏洞,该漏洞位于userFilterTableRpt.asp,通过相连接的SQL Server攻击者可以通过执行恶意查询语句,借此执行系统命令以及 .net 代码。
CVE-2021-30116: VSA 身份验证绕过漏洞
简述: VSA管理程序的Endpoint中存在一处身份验证绕过漏洞,该漏洞位于dl.asp路由,并可以与该路由下的其他路径功能相组合使用。
CVE-2021-30116: VSA 文件上传漏洞
简述: VSA管理程序的Endpoint中存在一处任意文件上传漏洞,该漏洞位于KUpload.dll, 该上传漏洞的成因是正常的上传功能与身份验证漏洞的结合,导致攻击者可以借此攻陷系统。
攻击者首先利用身份验证绕过漏洞获取了管理员的身份会话,然后通过文件上传漏洞上传了多个压缩编码的病毒程序和恶意脚本文件,最终利用SQL注入漏洞执行恶意脚本文件针对本地端口的API发送请求添加名为“Kaseya VSA Agent Hot-fix”的命令执行任务,并针对所有的客户端下发该勒索病毒安装任务。下图来自huntress分享的攻击事件截图,展示了恶意任务的分发情况。
分发的部分攻击命令如下图所示,命令使用 certutil 将之前上传的 agent.crt 解码得到agent.exe,最终执行agent.exe病毒程序。
全球勒索攻击持续向“APT化”演进360安全大脑强势出击解隐忧
REvil勒索家族,又被称作Sodinokibi勒索病毒家族。该家族最早出现于2019年4月,采用Raas(勒索即服务)模式进行运营。通过招募“会员”来扩大规模。由于其代码以及传播方式均与GandCrab有密切关系,该家族通常会被视做全球最大勒索病毒GandCrab的接班人。其主要背后团伙REvil组织还曾在2021年6月发布一款新的勒索软件Prometheus,一个月时间内,该新病毒已在暗网发布了44个受害者信息。REvil不仅会加密用户文件,还会窃取用户数据作为获取赎金的又一份筹码。其常见传播路径:
该家族在2020年5月13日第一次在暗网公开发布受害者数据,正式加入双重勒索大军。截止2021年7月3日该家族已在暗网公开发布过273个受害组织的数据。
经360安全大脑梳理,Revil该组织发起的重要攻击事件还包括:
2020年5月选举美国知名律师事务所Grubman Shire Meiselas&Sacks遭遇攻击,包括特朗普、麦当娜、LadyGaga等名人在内的750GB个人隐私数据遭遇泄露
2021年3月计算机九头宏碁(acer)遭遇REvil勒索软件攻击,被索要5000万美元赎金。
2021年4月因苹果供应商广达电脑遭遇REvil攻击,发布会之前被REvil勒索若不支付赎金将公布其设计图纸。
2021年5月美国核武器承包商Sol Oriens遭遇REvil软件攻击
2021年5月REvil针对全球最大肉类加工厂JBS进行攻击,JBS被迫缴纳1100万美元赎金
Kaseya公司相关软件被攻击的事件亦不是首次发生,之前也发生过多起类似事故,但规模不及此次:
虚拟系统管理Kaseya VSA因存在安全漏洞,黑客能在未授权情况下访问VSA用户设备,并下发挖矿软件到目标系统。
2019年2月10日,首次发现黑客利用MSP常用的远程管理软件(RMM)投放RagnarLocker勒索软件,其中Kaseya和ConnectWise最为流行。当攻击者首次入侵网络时,他们将在执行勒索软件前执行侦查和数据窃取,其所要赎金金额在20万美元到60万美元不等。
GandCrab利用Nday对Kaseya托管服务商发起勒索攻击,导致数百甚至上千客户端被感染。ManagedITSync是一款将ConnectWise和Kaseya集成的插件,但该插件存在漏洞,会导致Kaseya被利用,能执行各种命令以及重置管理员密码。其中一受害者称,本地中型MSP遭遇黑客攻击,并被黑客利用向80多个客户端下发执行GandCrab勒索病毒。
通过今年多起勒索攻击事件,再次展现出了勒索攻击“APT化”演进趋势。定向攻击、供应链攻击、0Day漏洞等各类高级威胁技术被应用于勒索攻击之中,这些勒索病毒攻击已与既往的国家级APT的攻击过程已无明显差别,从“小毛贼”到“大玩家”,攻击发起的主体已经成为专业的黑产组织,这也使得一般机构面对此类勒索攻击无力招架。
作为数字经济的守护者,360政企安全集团立足党政军企网络安全刚需,在360安全大脑的极智赋能下,面向政企用户推出360终端安全产品体系。360终端安全管理系统以大数据、云计算等新技术为支撑,以可靠服务为保障,集防病毒与终端安全管控功能于一体的企业级安全产品。360终端安全管理系统可对此类病毒威胁做出有效处理。最后,面对此类勒索病毒威胁,360安全大脑给出如下安全建议:
1、对于广大政企用户,可通过安装360终端安全管理系统,有效拦截木马病毒威胁,保护文件及数据安全,详情可通过400-6693-600咨询了解,抵御木马病毒攻击;
2、对于安全软件报毒的程序,不要轻易添加信任或退出安全软件;
3、安装并确保开启安全软件,保证其对本机的安全防护。
4、针对Kaseya的客户,Kaseya官方建议用户在发布更新修复程序之前按照以下步骤进行处置:
断开本地VSA服务器的网络连接,并保持设备的离线
使用官方提供的检测脚本,针对VSA受控的下属设备进行检测
Kaseya 官方检测程序下载:
https://kaseya.app.box.com/s/0ysvgss7w48nxh8k1xt7fqhbcjxhas40
如果有遇到此方面困难的用户,也可以前往https://360.net/或通过400-0309-360联系360安全专家,获取帮助。
来源 360政企安全
页:
[1]