托管服務(wù)提供商使用Kaseya的軟件遠(yuǎn)程從事IT項目,但在7月2日,與俄羅斯有聯(lián)系的REvil勒索軟件攻擊團(tuán)伙卻部署了一款惡意軟件更新,對使用該平臺的提供商及其客戶造成影響。
荷蘭漏洞披露研究所(DIVD)透露,此次攻擊使用的漏洞似乎與他們發(fā)現(xiàn)的一個漏洞相同,而在攻擊發(fā)生時,他們正在處理此事。“我們已經(jīng)對備份和系統(tǒng)管理工具及其漏洞展開了廣泛調(diào)查。”DIVD說,“KaseyaVSA就是我們調(diào)查的產(chǎn)品之一。我們發(fā)現(xiàn)該產(chǎn)品存在嚴(yán)重漏洞,并向Kaseya發(fā)送報告,此后一直與之保持定期聯(lián)系。”
上周五,KaseyaCEO弗雷德·沃考拉(FredVocolla)表示,“我們只有很少的客戶受到影響,目前估計全球范圍內(nèi)不到40個。”網(wǎng)絡(luò)安全公司Sophos副總裁羅斯·麥克查(RossMcKerchar)上周日在聲明中透露:“這是Sophos迄今為止看到的傳播速度最快的勒索軟件攻擊。我們目前獲得的證據(jù)顯示,已經(jīng)有70多個托管服務(wù)提供商受到影響,還有超過350家組織受到影響。我們預(yù)計,實際受影響的組織數(shù)量比任何一家安全公司報告的數(shù)字都要多。”
在美國總統(tǒng)拜登之前發(fā)表的評論的基礎(chǔ)上,負(fù)責(zé)網(wǎng)絡(luò)和新興技術(shù)的美國副國家安全顧問安妮·紐伯格(AnneNeuberger)進(jìn)一步表示:“聯(lián)邦調(diào)查局(FBI)和網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)將出面聯(lián)系受害者,以便根據(jù)對國家風(fēng)險的評估提供幫助。”
安全公司HuntressLabs也參與了攻擊應(yīng)對活動,并對大多數(shù)可用信息進(jìn)行歸檔。該公司稱,此次攻擊影響了該公司追蹤的1000多家企業(yè)。
Sophos、Huntress和其他安全公司都提到了REvil在其“快樂博客”(HappyBlog)上發(fā)表的一篇文章,聲稱有超過100萬臺設(shè)備遭到感染,并要求通過比特幣支付7000萬美元才能解鎖這些設(shè)備。
REvil已經(jīng)實施了多起勒索軟件攻擊,包括2019年6月與Kaseya有關(guān)的一次攻擊,以及今年早些時候瞄準(zhǔn)肉類供應(yīng)商JBS發(fā)起的攻擊。但安全研究人員馬庫斯·哈欽斯(MarcusHutchins)對該組織的聲明持懷疑態(tài)度,他認(rèn)為他們?yōu)榱怂饕嘹H金而夸大了影響范圍。
目前為止,Coop成為受到此次攻擊影響最顯著的公司之一,該公司在瑞典擁有800多家雜貨店,但因為攻擊導(dǎo)致其收銀臺故障而被迫在上周六關(guān)店。該公司在官網(wǎng)上發(fā)布通知稱,可以使用其Scan&Pay手機(jī)應(yīng)用購物的門店已經(jīng)重新開業(yè),其他門店依然關(guān)閉。
專家周二預(yù)計,當(dāng)美國企業(yè)周二結(jié)束獨立日假期后,可能會發(fā)現(xiàn)更多受害企業(yè)。
攻擊發(fā)生3天后,Kaseya的SaaS云服務(wù)器依然處于離線狀態(tài)。該公司表示,他們將于今晚提供服務(wù)器恢復(fù)的最新時間表,并將披露更多與此次攻擊有關(guān)的技術(shù)細(xì)節(jié),幫助客戶和研究人員采取恢復(fù)措施。
