托管服務提供商使用Kaseya的軟件遠程從事IT項目,但在7月2日,與俄羅斯有聯系的REvil勒索軟件攻擊團伙卻部署了一款惡意軟件更新,對使用該平臺的提供商及其客戶造成影響。
荷蘭漏洞披露研究所(DIVD)透露,此次攻擊使用的漏洞似乎與他們發現的一個漏洞相同,而在攻擊發生時,他們正在處理此事。“我們已經對備份和系統管理工具及其漏洞展開了廣泛調查。”DIVD說,“KaseyaVSA就是我們調查的產品之一。我們發現該產品存在嚴重漏洞,并向Kaseya發送報告,此后一直與之保持定期聯系。”
上周五,KaseyaCEO弗雷德·沃考拉(FredVocolla)表示,“我們只有很少的客戶受到影響,目前估計全球范圍內不到40個。”網絡安全公司Sophos副總裁羅斯·麥克查(RossMcKerchar)上周日在聲明中透露:“這是Sophos迄今為止看到的傳播速度最快的勒索軟件攻擊。我們目前獲得的證據顯示,已經有70多個托管服務提供商受到影響,還有超過350家組織受到影響。我們預計,實際受影響的組織數量比任何一家安全公司報告的數字都要多。”
在美國總統拜登之前發表的評論的基礎上,負責網絡和新興技術的美國副國家安全顧問安妮·紐伯格(AnneNeuberger)進一步表示:“聯邦調查局(FBI)和網絡安全與基礎設施安全局(CISA)將出面聯系受害者,以便根據對國家風險的評估提供幫助。”
安全公司HuntressLabs也參與了攻擊應對活動,并對大多數可用信息進行歸檔。該公司稱,此次攻擊影響了該公司追蹤的1000多家企業。
Sophos、Huntress和其他安全公司都提到了REvil在其“快樂博客”(HappyBlog)上發表的一篇文章,聲稱有超過100萬臺設備遭到感染,并要求通過比特幣支付7000萬美元才能解鎖這些設備。
REvil已經實施了多起勒索軟件攻擊,包括2019年6月與Kaseya有關的一次攻擊,以及今年早些時候瞄準肉類供應商JBS發起的攻擊。但安全研究人員馬庫斯·哈欽斯(MarcusHutchins)對該組織的聲明持懷疑態度,他認為他們為了索要更多贖金而夸大了影響范圍。
目前為止,Coop成為受到此次攻擊影響最顯著的公司之一,該公司在瑞典擁有800多家雜貨店,但因為攻擊導致其收銀臺故障而被迫在上周六關店。該公司在官網上發布通知稱,可以使用其Scan&Pay手機應用購物的門店已經重新開業,其他門店依然關閉。
專家周二預計,當美國企業周二結束獨立日假期后,可能會發現更多受害企業。
攻擊發生3天后,Kaseya的SaaS云服務器依然處于離線狀態。該公司表示,他們將于今晚提供服務器恢復的最新時間表,并將披露更多與此次攻擊有關的技術細節,幫助客戶和研究人員采取恢復措施。
