据报道，来自世界各地的1000多家企业受到了供应链攻击的影响，黑客正利用名为Kaseya VSA的远程计算机管理工具中的漏洞来部署REvil勒索软件。目前，Kaseya已经关闭了其基于云的服务，并敦促所有运行本地部署的用户——包括许多托管服务提供商(MSP)——立即关闭其易受攻击的服务器，直至发布补丁。

事实上，这并不是网络犯罪分子和勒索软件团伙第一次将MSP作为访问企业网络的“入口”。然而，对于许多组织而言，防御这种攻击媒介并不容易，因为外包IT管理就意味着要为MSP提供对其网络和系统的高度特权访问。

Kaseya VSA攻击的影响

7月2日(上周五)，针对Kaseya VSA服务器的攻击事件出现在了美国。攻击者可能是故意选择在重大节假日(7.3-7.5日为美国独立日假期)或周末之前发动攻击，目的是希望安全团队的响应速度会慢一些，因为在美国，员工在假期前的工作时长缩短是很常见的。

Kaseya在一份报告中表示，“我们的客户中只有很小一部分受到了影响——目前估计全球不到 40家。我们确信已经掌握了漏洞来源，并正在为我们的本地部署客户准备一个补丁进行缓解。我们会在完成彻底的测试之后，尽快发布该补丁，以使我们的客户恢复正常运行。”

目前，该公司已经关闭了VSA的SaaS版本，但指出其云托管服务的客户并未面临风险。 Kaseya VSA是一种IT远程监控和管理(RMM)解决方案，IT和网络管理员可以使用它来自动修补端点和服务器、管理备份和防病毒部署、自动执行其他IT流程以及远程解决和排除IT问题。而为了能够执行所有这些任务，Kaseya VSA 软件必须以管理员级别的访问权限运行。

据Kaseya介绍，其RMM解决方案拥有超过36000名用户，因此受影响的客户不到40家听起来确实是一个小数字。但是，根据第三方报告指出，许多受影响的客户是MSP，它们使用Kaseya VSA来管理数百家企业的系统和网络。

托管威胁检测和响应供应商Huntress的高级安全研究员John Hammond在一篇博文中表示，“我们正在跟踪美国、澳大利亚、欧盟和拉丁美洲的约 30个MSP，发现其中许多企业与Kaseya VSA存在合作关系，而攻击者已经通过Kaseya VSA加密了超过1000家企业。所有这些VSA服务器都是本地部署，Huntress 已确认网络犯罪分子已经利用了SQLi 漏洞，并且非常有信心使用身份验证绕过漏洞来访问这些服务器。”

Kaseya正在修复这些漏洞

根据荷兰漏洞披露研究所 (DIVD) 的说法，其研究人员已经在上周末发现了攻击中使用的一些零日漏洞，并已将这些信息报告给了Kaseya，以便其尽早开发出补丁程序。

DIVD主席兼研究主管Victor Gevers称，“在整个过程中，Kaseya已经表明他们愿意在该事件中付出最大的努力和主动性来解决这个问题并帮助客户完成漏洞修复，他们做出了明确且真诚的承诺。值得警惕的是，攻击者可以在客户完成修复之前继续利用这些漏洞。”

据Gevers称，DIVD一直在与国家CERTS和其他合作伙伴合作，以识别和联系公开暴露的 Kaseya VSA服务器的用户，并指出公开暴露的实例数量已经从最初的2200下降到不足140。

在补丁准备好之前，Kaseya 建议客户不要开启他们的本地VSA 服务器。但是，该公司发布了一种入侵检测工具，可用于扫描VSA服务器或Kaseya管理的端点，以查找此次攻击的入侵迹象。

REvil及其部署方式

REvil，也称为Sodinokibi，是一种出现于2019年4月的勒索软件威胁，并在另一个名为 GandCrab的RaaS团伙关闭其服务后声名鹊起。REvil 作为勒索软件即服务(RaaS)平台运营，通过招募合作伙伴进行攻击和勒索加密，最后各方进行分成。在过去的一年里，REvil 已经成为感染企业网络最常见的勒索软件之一。由于恶意软件由不同的“会员”分发，因此初始访问向量以及攻击者在网络内采取的行动各不相同。

根据安全研究员Kevin Beaumont的说法，一旦攻击者通过利用零日漏洞获得对Kaseya VSA实例的访问权限，他们就会立即停止管理员对该软件的访问权限，以防止攻击被阻止。然后，他们会设置一个名为“Kaseya VSA Agent Hot-fix”的任务，将伪造的Kaseya代理更新推送到通过该软件管理的系统中。

这个虚假更新实际上就是REvil 勒索软件。需要明确的是，这意味着非Kaseya客户的组织仍可能会被加密。

鉴于Kaseya文档建议客户从防病毒扫描中排除安装了VSA远程管理代理及其组件的文件夹，因此该恶意更新的部署可以进一步推进。

安装后，REvil勒索软件会执行PowerShell命令，禁用Microsoft Defender for Endpoint的几个重要功能：实时监控、IPS、云查找、脚本扫描、受控文件夹访问(勒索软件预防)、网络保护和云样本提交。该恶意软件还会试图篡改其他供应商(包括 Sophos)的防病毒产品，并禁用各种备份系统。

该勒索网站托管在Tor网络上，赎金货币为门罗币(Monero)。HitmanPro恶意软件分析师 Mark Loman分享的屏幕截图显示，赎金金额为 50000 美元。但有报道称，与此次攻击相关的赎金要求为500万美元。一般来说，勒索软件团伙会根据他们对受害者年收入的了解来调整勒索金额。

MSP和远程管理工具并不是新攻击目标

针对MSP及其使用的管理软件(例如 Kaseya)的攻击并不是什么新现象。 2018年1月，安全公司eSentire报告称，攻击者通过Kaseya VSA中的漏洞攻击了其众多客户，目的是在他们的系统上部署加密货币挖掘恶意软件。Kaseya 随后就发布了一个补丁来解决该漏洞。

2019年8月，REvil勒索软件团伙设法破坏了一家位于德克萨斯州的MSP(名为TSM Consulting Services)，并向其客户部署了勒索软件，影响了德克萨斯州的22个城市。

同年早些时候，勒索软件组织利用ConnectWise ManagedITSync integration(一种旨在在 ConnectWise Manage PSA 和 Kaseya VSA RMM 之间同步数据的实用程序)中的一个旧漏洞来破坏MSP。安全公司Armor Defense的一份报告指出，2019年有13个MSP和云服务提供商受到攻击，导致众多市政当局、学区和私营企业的系统感染了勒索软件。