周四下午開始,REvil 勒索軟件團伙(又名 Sodinokibi)似乎又盯上了擁有數千名客戶的託管服務提供商(MSPs)。作為 Kaseya VSA 供應鏈攻擊的一部分,目前已知有 8 個大型的 MSP 遭到了攻擊。據悉,Kaseya VSA 是一個基於雲的 MSP 平台,允許提供商為客戶執行補丁管理和客戶端監控任務。
Huntress Labs 的 John Hammond 向 BleepingComputer 透露,所有受影響的 MSP 都在使用 Kaseya VSA,且他們有證據表明他們的客戶也受到了影響,包括 3 個 Huntress 合作夥伴 / 大約 200 家企業。
截止美東時間當天下午 2 點,此類潛在攻擊似乎僅限於少數內部部署客戶。但 Kaseya 還是在網站上發布了安全公告,警告所有 VSA 客戶立即關閉他們的服務器,以防止事態的進一步蔓延。
目前我們正在非常謹慎地調查時間的根本原因,但在收到進一步的通知之前,建議大家立即關閉自家的 VSA 服務器。
該操作至關重要,還請立即執行,因為攻擊者做的第一件事,就是關上 VSA 管理訪問的大門。
執行 REvil 勒索軟件的 PowerShell 命令(圖 via Reddit)
在致 BleepingComputer 的一份聲明中,Kaseya 表示他們已經關閉了自家的 SaaS 服務器,並且正在與其它安全公司合作調查這一事件。
此外大多數勒索軟件加密攻擊都選在了周末的深夜進行,因為那時負責網絡監控的人手最少。鑒於本次攻擊發生在周五中午,攻擊者很可能瞄準這周末發起更大範圍的行動。
agent.exe 可執行文件的簽名
John Hammond 與 Sophos 的 Mark Loman 都向 BleepingComputer 透露,針對 MSP 的攻擊,似乎是通過 Kaseya VSA 發起的供應鏈攻擊。
前者稱,Kaseya VSA 會將 agent.crt 文件放到 c:kworking 文件夾中,並作為“Kaseya VSA Agent Hot-fix”更新來分發。
然後藉助合法的 Windows certutil.exe 這個 PowerShell 命令對 agent.crt 文件進行解碼,並將 agent.exe 文件提取到同一文件夾中。
agent.exe 使用了來自“PB03 TRANSPORT LTD”的簽名證書,輔以嵌入的“MsMpEng.exe”和“mpsvc.dll”(後面這個動態鏈接庫文件又被 REvil 勒索軟件的加密器所使用)。
agent.exe 提取並啟動的嵌入式資源代碼
MsMPEng.exe 是合法的 Microsoft Defender 可執行文件的舊版本,它被當做 LOLBin 以調用動態鏈接庫(DLL)文件,並通過受信任的可執行文件進行加密。
此外一些樣本還向受感染的計算機注入了帶有政治色彩的 Windows 註冊表項及配置更改,比如 BleepingComputer 就在 [VirusTotal] 樣本中看到了 BlackLivesMatter 密鑰被用於存儲來自攻擊者的配置信息。
若不幸中招,勒索軟件團伙會向受害者索取 500 萬美元的贖金,以獲得針對其中一個樣本的解密器。
而且通常 REvil 會在部署文件加密型勒索軟件前竊取受害者的數據,但目前尚不清楚本次攻擊有泄露哪些文件。