msmpeng(mlperf)

Kaseya在美国东部时间周五下午2点左右遭到袭击，并在2021年7月3日晚上7点30分和9点再次遭到袭击。7月4日上午10点，卡塞亚再次发出警告，卡塞亚遭到攻击。这次攻击是针对Kaseya当地的VSA产品。

目前，Kaseya强烈建议当地客户的VSA服务器保持离线，直到另行通知。

在这次攻击中，攻击者利用该漏洞发送恶意的卡塞亚VSA软件更新，该软件更新与勒索软件打包在一起，可以加密受感染系统上的文件。

根据安全研究员凯文·博蒙特的说法，VSA以管理员权限运行，这使得攻击者也可以向受影响的MSP的客户发送勒索软件。

一旦受害者的系统被感染，该恶意软件会试图禁用各种Microsoft Defender进行端点保护，包括实时监控、IPS、脚本扫描、网络保护、云样本提交、云查找和受控文件夹访问。在勒索软件被部署之前，VSA的管理员账户明显被禁用了。

根据女猎手的说法，这次攻击似乎是由作为服务运营商的REvil/Sodinokibi勒索软件发起的。

Kaseya是一家为托管服务提供商(MSP)和IT公司提供IT管理软件的公司。他们将REvil(又名Sodinokibi)上周末遭受的勒索软件攻击描述为针对其VSA本地产品的“复杂网络攻击”。除了建议所有客户关闭他们的本地VSA服务器，直到另行通知，Kaseya还决定在调查期间立即关闭他们的软件即服务(SaaS)服务器，作为一项保守的安全措施。

REvil勒索软件攻击者

截至发稿时，Kaseya尚未发布有关此次攻击的技术信息，但网络安全和基础设施安全局(CISA)透露，攻击者使用Kaseya的VSA软件推送恶意脚本。

攻击者使用VSA软件推送恶意PowerShell脚本，然后在客户端系统上加载REvil勒索软件有效负载。同样重要的是，非kaseya客户也可能通过他们的服务提供商受到影响。

影响卡塞亚·VSA的Sodinokibi/REvil勒索软件(检测为勒索。Win32.SODINOKIBI.YABGC)将禁用某些服务并终止与合法软件(如浏览器和生产力应用程序)相关的进程。具体来说，它会终止以下进程:

◾agntsvc

◾dbeng50

◾dbsnmp

◾encsvc

◾excel

◾firefox

◾infopath

◾isqlplussvc

◾msaccess

◾mspub

◾mydesktopqos

◾mydesktopservice

◾ocautoupds

◾ocomm

◾ocssd

◾onenote

◾oracle

◾outlook

◾powerpnt

◾sqbcoreservice

◾sql

◾steam

◾synctime

◾tbirdconfig

◾thebat

◾thunderbird

◾visio

◾winword

◾wordpad

◾xfssvccon

如果Sodinokibi检测到操作系统语言是以下任何一种，它将自行终止:

阿拉伯语-叙利亚；

亚美尼亚东部；

阿塞拜疆的西里尔语；

阿塞拜疆拉丁语；

白俄罗斯人；

格鲁吉亚语；

哈萨克语；

吉尔吉斯西里尔文；

罗马尼亚语-摩尔多瓦；

俄语；

俄语-摩尔多瓦；

叙利亚语；

塔吉克斯坦；

鞑靼人；

土库曼斯坦；

乌克兰语；

乌兹别克西里尔文；

乌兹别克语拉丁语；

受影响系统的壁纸被更改为该图像。

索迪诺基比赎金通知

REvil勒索软件被认为是GandCrab的迭代产品，该软件以针对已知受害者并采用双重勒索策略迫使受害者支付赎金而闻名。REvil攻击者也是最近针对肉类供应商JBS的大规模勒索软件攻击的幕后黑手。

趋势科技的安全建议

虽然调查仍在进行中，但重要的是受影响的用户遵循Kaseya的指导，以保护他们的系统免受进一步的损害。截至2021年7月3日晚9点(美国东部时间)，该公司已建议关闭所有本地VSA服务器，这些服务器只有在部署补丁后才能重启。

由于勒索软件可以有多个入口点和加密功能，企业需要良好的备份策略和多层安全方法来保护其网络和关键业务数据:

电子邮件和Web防护通过阻止垃圾邮件和访问恶意链接来防止勒索软件进入您的网络；

服务器保护保护服务器免受可利用的漏洞的攻击；

网络保护通过阻止勒索软件从服务器传播到终端或从终端传播到终端来保护您的网络；

终端保护通过阻止勒索软件运行来保护终端；

国际奥林匹克委员会

1.勒索病毒加密器由{Path}\agent.exe投入使用，检测为木马。Win32.SODINSTALL.YABGC恶意DLL(ransom . win32 . sodinokibi . yab GC)通过DLL端加载技术，利用合法的可执行文件进行加载；

2.VSA计划被命名为“卡塞亚VSA代理热修复”；

3.至少有两个特定的任务，加密和进程终止。使用前面提到的加密器运行一个特定的PowerShell脚本。

这次袭击迫使瑞典连锁超市Coop关闭了800家商店。

据瑞典最大的杂货连锁店之一Coop称，Kaseya安全事件发生后，用于远程更新其收银台的工具受到了攻击的影响，因此无法进行支付，导致全国近800家商店被迫关闭。

Coop发言人Therese Knapp告诉瑞典电视台:

我们整晚都在排除故障和恢复，但我们表示今天需要关闭商店。

瑞典新闻社TT说，瑞典公司Vissmaesscom使用了Kaseya技术，该技术为许多瑞典企业管理服务器和设备。

根据最新消息，在Kaseya开始向客户发布经过验证的修复程序之前，REvil affiliates已经掌握了该漏洞的详细信息，并成功利用了该漏洞。

REvil勒索软件组织声称已经加密了超过一百万个系统，并索要7000万美元的赎金。然而今天，攻击者将价格降至5000万美元。

这是历史上最高的赎金要求，但之前的最高赎金记录也属于REvil，当时它在袭击了台湾省的电子和计算机制造商宏碁后，要求5000万美元的赎金。

这并不是REvil勒索软件第一次被用来攻击MSP。2019年6月，REvil的一家子公司利用其管理软件，通过远程桌面针对MSP，向其管理的所有客户端终端传播勒索软件安装程序。

据信，同一家附属公司此前曾在2019年1月与GandCrab合作攻击MSP的网络，当时REvil organization要求7000万美元来解密卡塞亚攻击中锁定的系统。

目前，Kaseya发言人尚未就该公司是否会考虑支付REvil组织的赎金要求发表评论。在撰写本文时，Kaseya勒索软件事件已经影响到全球数千家公司。VSA设备是一个基于网络的平台，通常由大公司或托管服务提供商(MSP)用来管理远程计算机群。REvil组织将通过受感染的VSA服务器转向所有连接的工作站和企业网络。

REvil勒索软件的技术分析

REvil勒索软件已经在黑市上推广了三年，是RaaS操作最多的产品之一。根据卡巴斯基实验室对REvil运营商的跟踪分析，该组织在2020年的运营中赚了超过1亿美元。2019年4月，在另一个现已解散的勒索软件组织GandCrab关闭后，首次观察到该组织的活动。在这个针对kaseya的攻击案例中，攻击者通过PowerShell脚本部署了一个恶意下载程序，该程序由供应商的代理执行:

该脚本禁用了微软Defender的终端保护功能，然后使用certutil.exe实用程序对恶意可执行文件(agent.exe)进行解码，会下载一个合法的微软二进制文件(MsMpEng.exe，微软Defender的旧版本)和恶意库(mpsvc)。dll，这是REvil勒索软件的整个攻击过程。然后，合法的MsMpEng.exe通过使用DLL侧加载技术(T1574.002)来加载这个库。

“agent.exe”放弃程序的执行过程

在撰写本文时，研究人员已经在22个国家/地区观察到超过5000次攻击尝试。

未遂袭击的地理分布

REvil使用Salsa20对称流算法加密文件内容，使用椭圆曲线非对称算法加密密钥。由于恶意软件中使用的安全加密方案和实现，没有网络罪犯的密钥，不可能解密受该恶意软件影响的文件。

卡巴斯基产品可以抵御这种威胁，并使用以下名称进行检测:

◾UDS:DangerousObject.多通用

◾Trojan-Ransom.Win32.Gen.gen

◾Trojan-Ransom.Win32.Sodin.gen

◾Trojan-Ransom.Win32.Convagent.gen

◾PDM:Trojan.Win32 .泛型

卡巴斯基查询页面的0x 561 cf Bab a 71 a6 e 8 cc 1 cdceda 990 EAD 4二进制文件部分

为了保护您的公司免受勒索软件2.0攻击，卡巴斯基专家建议:

1.除非绝对必要，否则不要将远程桌面服务(如RDP)暴露在公共网络中，并始终使用强密码；

2.及时安装商业VPN解决方案可用的补丁，为远程员工提供访问，并充当网络中的网关；

3.在你使用的所有设备上保持软件更新，防止勒索软件利用漏洞；

4.将您的防御策略集中在检测水平移动和向互联网的数据泄漏上。请特别注意传出流量，以检测网络罪犯的连接。定期备份您的数据，以确保在紧急情况下可以快速访问。使用最新的威胁情报信息了解攻击者实际使用的TTP。

CISA和联邦调查局还分享了针对Kaseya勒索软件攻击受害者的指导方针。

CISA和联邦调查局分享了一些受REvil供应链勒索软件攻击影响的托管服务提供商(MSP)及其客户的安全指南，该攻击攻击了Kaseya基于云的MSP平台的系统。

这两个联邦机构建议受REvil攻击影响的MSP使用Kaseya在周末提供的检测工具，进一步检查他们的系统是否有入侵迹象，并在尽可能多的帐户上启用多因素身份验证(MFA)。

此外，MSP应实现权限列表以限制对其内部资产的访问，并使用防火墙或VPN来保护其远程监控工具的管理界面。

CISA和联邦调查局为受影响的MSP提供的完整建议列表包括:

1.下载卡塞亚VSA检测工具，该工具对系统(VSA服务器或被管理终端)进行分析，判断是否有攻击指标(IOC)；

2.在组织控制的每个帐户上启用和实施多因素身份验证(MFA ),并尽可能为面向客户的服务启用和实施MFA；

3.实施许可列表，将与远程监控和管理(RMM)功能的通信限制在已知的IP地址；

4.将RMM的管理接口放在虚拟专用网(VPN)或专用管理网上的防火墙后面；

5.建议受攻击影响的MSP客户尽可能使用和执行MFA，并通过将备份放在air gap系统上来保护它们。

CISA和联邦调查局建议受影响的MSP客户:

1.确保备份是最新的，并存储在与组织网络隔离的易于检索的位置；

2.根据供应商的修复指南恢复手动补丁程序管理流程，包括在有新补丁程序时尽快安装；

3.对关键网络资源的管理员账户实行MFA和最小特权原则；

在联邦调查局周末发布的一份官方声明中，它说:

由于这一事件的潜在规模，联邦调查局和中央情报局可能无法单独回应每个受害者，但我们收到的所有信息将有助于应对这一威胁。