2021年7月3日

 

週五（7月2日），一場勒索軟體攻擊，使至少 200 家美國公司的網路癱瘓。

安全公司 Huntress Labs 的約翰·哈蒙德說，REvil 團夥是一個主要的俄語勒索軟體集團，似乎是這次襲擊的幕後黑手。他說，犯罪分子的目標是一家名為 Kaseya 的軟體供應商，利用其網路管理包作為管道，透過雲服務提供者傳播勒索軟體。其他研究人員同意哈蒙德的評估。

哈蒙德在一條推文中說：“Kaseya 在全球範圍處理的既有大企業，也有小公司，因此最終，這有可能擴展到任何規模的企業。”

 

哈蒙德說： “這是一次巨大且有毀滅性的供應鏈攻擊。”

此類網路攻擊通常會滲透到廣泛使用的軟體中，並在惡意軟體自動更新時傳播。

目前尚不清楚有多少 Kaseya 客戶可能會受到影響，或者他們可能是誰。Kaseya 在其網站上的一份聲明中敦促客戶立即關閉運行受影響軟體的伺服器。該公司表示，此次攻擊僅限於“少數”客戶。

 

'帶有勒索軟體的 SolarWinds'

網路安全公司 Emsisoft 的勒索軟體專家佈雷特·卡洛 (Brett Callow) 表示，他不知道以前是否發生過如此大規模的勒索軟體供應鏈攻擊。他說，曾經發生過一些，但它們相當小。

“這是帶有勒索軟體的 SolarWinds，”他說。他指的是去年 12 月發現的俄羅斯網路間諜駭客活動，該活動透過感染網路管理軟體進行傳播，以滲透到美國聯邦機構和數十家公司。

Rendition Infosec 總裁網路安全研究員傑克·威廉姆斯表示，他已經與六家受到勒索軟體襲擊的公司合作。他說，這發生在 7 月 4 日週末之前並非偶然，因為那時 IT人員普遍很少。

 

他說：“在我看來，從時機看是有意為之的，這一點毋庸置疑。”

Huntress的哈蒙德說，他知道四家為多個客戶託管 IT基礎設施的公司受到勒索軟體的攻擊，該軟體會對網路進行加密，直到受害者支付攻擊者索要的費用。他說，有數千台電腦被攻擊。

哈蒙德說：“我們目前有三個Huntress合作夥伴，大約有200 家企業已經被加密。”

 

JBS攻擊

哈蒙德在推文中寫道：“根據我們現在看到的一切，我們堅信這是REvil/Sodinikibi。” FBI 將同一勒索軟體提供商與 5 月份對全球主要肉類加工商JBS SA的攻擊聯繫起來。

聯邦網路安全和基礎設施安全局在週五晚些時候發出的一份聲明中表示，它正在密切監視局勢，並與 FBI 合作收集有關其影響的更多資訊。

CISA 敦促任何可能受到影響的人“按照 Kaseya 的指導立即關閉 VSA 伺服器”。 Kaseya 運行所謂的虛擬系統管理員或 VSA，用於遠端系統管理和監控客戶的網路。

 

私人控股的 Kaseya 表示，其總部位於愛爾蘭都柏林，美國總部位於邁阿密。 《邁阿密先驅報》最近在一篇關於該公司因近期收購網路安全平臺，因而計畫到 2022 年雇用多達 500 名員工的報導中，將該公司稱作“邁阿密最古老的科技公司之一”。

愛爾蘭網路安全顧問布賴恩·霍南 (Brian Honan) 週五在電子郵件中表示：“這是一次典型的供應鏈攻擊，犯罪分子損害了一家值得信賴的公司供應商，並濫用這種信任來攻擊他們的客戶。”

他說，小型企業可能很難抵禦這種類型的攻擊，因為它們“依賴供應商的安全性以及這些供應商使用的軟體”。

 

恢復可能更容易

Rendition Infosec 的威廉姆斯說，唯一的好消息是，“我們的許多客戶並沒有在其網路中的每台電腦上都安裝 Kaseya”，這使得攻擊者更難全面掌控該機構的電腦系統。

他說，這使得恢復更容易。

自 2019 年 4 月開始活躍的 REvil 組織提供“用於服務的勒索軟體”，這意味著它開發網路癱瘓軟體並將其出租給所謂的附屬機構，這些附屬機構感染目標並賺取大部分贖金。

 

REvil 是在在啟動勒索軟體之前從目的機構竊取資料以加大勒索籌碼的勒索軟體團夥之一。Palo Alto Networks網路安全公司在最近的一份報告中表示，去年向該組織支付的平均贖金約為 50 萬美元。

一些網路安全專家預測，鑒於受害者人數眾多，該團夥可能難以處理贖金談判，但美國的長週末假期可能會給它更多準備時間。