REvil勒索軟件顯然正在利用卡西亞(Kaseya)–一個旨在幫助遠程管理IT服務的軟件平台來分發他們的有害載荷,這毀了不少網絡從業人士本周末的假期。Sophos主管和道德黑客Mark
Loman今天早些時候介紹了這次攻擊,現在報告說,受影響的系統將要求44999美元才能解鎖。
Kaseya官方網站上有一條說明,懇請客戶暫時關閉他們的VSA服務器,”因為攻擊者做的第一件事就是關閉對VSA的管理權限。”
根據Bleeping Computer的一份報告,該攻擊針對六個大型MSP,並為多達200家公司的數據進行了加密並開始勒索。
DoublePulsar,Kevin Beaumont發布了更多關於該攻擊似乎如何工作的細節,REvil勒索軟件通過Kaseya更新到達受害計算機,並使用該平台的管理權限來感染系統。一旦管理服務提供商被感染,他們的系統就可以攻擊他們提供遠程IT服務的客戶(網絡管理、系統更新和備份,以及其他事項)。
在一份聲明中,Kaseya表示:”我們正在調查針對VSA的潛在攻擊,該攻擊表明只限於我們少數的內部客戶”。一份通知聲稱,其所有的雲服務器現在都處於 “維護模式”,該發言人說,採取這一舉措是為了 “謹慎起見”。
聲明全文如下:
我們正在調查針對VSA的潛在攻擊,該攻擊表明只限於我們少數的企業內部客戶。出於謹慎的考慮,我們已經主動關閉了我們的SaaS服務器。
我們正在以最大的警惕性調查該事件的根本原因,我們已經。
a. 通知我們所有的內部客戶,立即關閉他們的VSA服務器
b. 關閉了我們的SaaS服務器
一些安全公司已經進一步通知我們這個問題,我們也在與他們緊密合作。在我們繼續調查這一事件的同時,我們將在獲得更多信息後向客戶(和有關各方)提供最新信息。
Dana Liedholm – Kaseya企業通信高級副總裁
今天的攻擊與臭名昭著的REvil勒索軟件團伙有關(今年早些時候與對宏碁和北美最大肉聯廠JBS的攻擊案例)。