據報道，來自世界各地的1000多家企業受到了供應鏈攻擊的影響，黑客正利用名為KaseyaVSA的遠程計算機管理工具中的漏洞來部署REvil勒索軟件。目前，Kaseya已經關閉了其基于云的服務，并敦促所有運行本地部署的用戶——包括許多托管服務提供商(MSP)——立即關閉其易受攻擊的服務器，直至發布補丁。

　　事實上，這并不是網絡犯罪分子和勒索軟件團伙第一次將MSP作為訪問企業網絡的“入口”。然而，對于許多組織而言，防御這種攻擊媒介并不容易，因為外包IT管理就意味著要為MSP提供對其網絡和系統的高度特權訪問。

　　KaseyaVSA攻擊的影響

　　7月2日(上周五)，針對KaseyaVSA服務器的攻擊事件出現在了美國。攻擊者可能是故意選擇在重大節假日(7.3-7.5日為美國獨立日假期)或周末之前發動攻擊，目的是希望安全團隊的響應速度會慢一些，因為在美國，員工在假期前的工作時長縮短是很常見的。

　　Kaseya在一份報告中表示，“我們的客戶中只有很小一部分受到了影響——目前估計全球不到40家。我們確信已經掌握了漏洞來源，并正在為我們的本地部署客戶準備一個補丁進行緩解。我們會在完成徹底的測試之后，盡快發布該補丁，以使我們的客戶恢復正常運行。”

　　目前，該公司已經關閉了VSA的SaaS版本，但指出其云托管服務的客戶并未面臨風險。KaseyaVSA是一種IT遠程監控和管理(RMM)解決方案，IT和網絡管理員可以使用它來自動修補端點和服務器、管理備份和防病毒部署、自動執行其他IT流程以及遠程解決和排除IT問題。而為了能夠執行所有這些任務，KaseyaVSA軟件必須以管理員級別的訪問權限運行。

　　據Kaseya介紹，其RMM解決方案擁有超過36000名用戶，因此受影響的客戶不到40家聽起來確實是一個小數字。但是，根據第三方報告指出，許多受影響的客戶是MSP，它們使用KaseyaVSA來管理數百家企業的系統和網絡。

　　托管威脅檢測和響應供應商Huntress的高級安全研究員JohnHammond在一篇博文中表示，“我們正在跟蹤美國、澳大利亞、歐盟和拉丁美洲的約30個MSP，發現其中許多企業與KaseyaVSA存在合作關系，而攻擊者已經通過KaseyaVSA加密了超過1000家企業。所有這些VSA服務器都是本地部署，Huntress已確認網絡犯罪分子已經利用了SQLi漏洞，并且非常有信心使用身份驗證繞過漏洞來訪問這些服務器。”

　　Kaseya正在修復這些漏洞

　　根據荷蘭漏洞披露研究所(DIVD)的說法，其研究人員已經在上周末發現了攻擊中使用的一些零日漏洞，并已將這些信息報告給了Kaseya，以便其盡早開發出補丁程序。

　　DIVD主席兼研究主管VictorGevers稱，“在整個過程中，Kaseya已經表明他們愿意在該事件中付出最大的努力和主動性來解決這個問題并幫助客戶完成漏洞修復，他們做出了明確且真誠的承諾。值得警惕的是，攻擊者可以在客戶完成修復之前繼續利用這些漏洞。”

　　據Gevers稱，DIVD一直在與國家CERTS和其他合作伙伴合作，以識別和聯系公開暴露的KaseyaVSA服務器的用戶，并指出公開暴露的實例數量已經從最初的2200下降到不足140。

　　在補丁準備好之前，Kaseya建議客戶不要開啟他們的本地VSA服務器。但是，該公司發布了一種入侵檢測工具，可用于掃描VSA服務器或Kaseya管理的端點，以查找此次攻擊的入侵跡象。

　　REvil及其部署方式

　　REvil，也稱為Sodinokibi，是一種出現于2019年4月的勒索軟件威脅，并在另一個名為GandCrab的RaaS團伙關閉其服務后聲名鵲起。REvil作為勒索軟件即服務(RaaS)平臺運營，通過招募合作伙伴進行攻擊和勒索加密，最后各方進行分成。在過去的一年里，REvil已經成為感染企業網絡最常見的勒索軟件之一。由于惡意軟件由不同的“會員”分發，因此初始訪問向量以及攻擊者在網絡內采取的行動各不相同。

　　根據安全研究員KevinBeaumont的說法，一旦攻擊者通過利用零日漏洞獲得對KaseyaVSA實例的訪問權限，他們就會立即停止管理員對該軟件的訪問權限，以防止攻擊被阻止。然后，他們會設置一個名為“KaseyaVSAAgentHot-fix”的任務，將偽造的Kaseya代理更新推送到通過該軟件管理的系統中。

　　這個虛假更新實際上就是REvil勒索軟件。需要明確的是，這意味著非Kaseya客戶的組織仍可能會被加密。

　　鑒于Kaseya文檔建議客戶從防病毒掃描中排除安裝了VSA遠程管理代理及其組件的文件夾，因此該惡意更新的部署可以進一步推進。

　　安裝后，REvil勒索軟件會執行PowerShell命令，禁用MicrosoftDefenderforEndpoint的幾個重要功能：實時監控、IPS、云查找、腳本掃描、受控文件夾訪問(勒索軟件預防)、網絡保護和云樣本提交。該惡意軟件還會試圖篡改其他供應商(包括Sophos)的防病毒產品，并禁用各種備份系統。

　　該勒索網站托管在Tor網絡上，贖金貨幣為門羅幣(Monero)。HitmanPro惡意軟件分析師MarkLoman分享的屏幕截圖顯示，贖金金額為50000美元。但有報道稱，與此次攻擊相關的贖金要求為500萬美元。一般來說，勒索軟件團伙會根據他們對受害者年收入的了解來調整勒索金額。

　　MSP和遠程管理工具并不是新攻擊目標

　　針對MSP及其使用的管理軟件(例如Kaseya)的攻擊并不是什么新現象。2018年1月，安全公司eSentire報告稱，攻擊者通過KaseyaVSA中的漏洞攻擊了其眾多客戶，目的是在他們的系統上部署加密貨幣挖掘惡意軟件。Kaseya隨后就發布了一個補丁來解決該漏洞。

　　2019年8月，REvil勒索軟件團伙設法破壞了一家位于德克薩斯州的MSP(名為TSMConsultingServices)，并向其客戶部署了勒索軟件，影響了德克薩斯州的22個城市。

　　同年早些時候，勒索軟件組織利用ConnectWiseManagedITSyncintegration(一種旨在在ConnectWiseManagePSA和KaseyaVSARMM之間同步數據的實用程序)中的一個舊漏洞來破壞MSP。安全公司ArmorDefense的一份報告指出，2019年有13個MSP和云服務提供商受到攻擊，導致眾多市政當局、學區和私營企業的系統感染了勒索軟件。