《電子技術應用》
您所在的位置:首頁 > 通信與網絡 > 業(yè)界動態(tài) > 勒索軟件大爆炸!一家企業(yè)被黑,成百上千家企業(yè)受感染

勒索軟件大爆炸!一家企業(yè)被黑,成百上千家企業(yè)受感染

2021-07-05
來源: 互聯(lián)網安全內參
關鍵詞: 勒索軟件 0day漏洞

  又一家美國IT管理軟件被黑,因0day漏洞突破防線,軟件更新被篡改向其客戶傳播勒索軟件,事態(tài)一發(fā)不可收拾,拜登總統(tǒng)又收到勒索軟件簡報;

  上千家企業(yè)或受影響,包括至少8家使用其軟件的托管服務商(客戶也被勒索),受影響最大的瑞士最大零售連鎖店Coop,旗下至少800家門店被迫停業(yè);

  REvil勒索軟件宣布對此負責,聲稱已經鎖定了超過一百萬個系統(tǒng),要挾索要價值7000萬美元的比特幣贖金。

  7月2日,為40000多家組織提供服務的美國IT管理軟件廠商Kaseya披露,已經淪為“復雜網絡攻擊”的受害者。這導致包括瑞典最大雜貨零售品牌在內的全球數(shù)百家企業(yè),上周六啟動緊急應急響應,以應對潛在的違規(guī)漏洞。

  微信圖片_20210705173010.jpg

  安全研究人員稱,這次攻擊可能由俄羅斯相關的勒索軟件犯罪組織REvil實施。美國聯(lián)邦調查局稱,該組織曾在今年5月針對全球最大肉類供應商JBS發(fā)起大型網絡攻擊。

  REvil在其暗網博客上確認對這次事件負責,聲稱在7月2日發(fā)動攻擊后,已經鎖定了超過一百萬個系統(tǒng),要挾受害企業(yè)支付價值7000萬美元的比特幣,以換取所有系統(tǒng)的通用解密器。

  近千家零售店被迫關門,

  拜登總統(tǒng)又收到勒索軟件簡報

  據(jù)安全廠商Yubico公司網絡安全研究員Sebastian Elfors介紹,上周六,瑞典雜貨零售連鎖店Coop被迫關閉了至少 800家門店,商店門外放著將顧客拒之門外的告示牌,“我們的IT系統(tǒng)遭遇不可抗力干擾,已經無法正常工作?!?/p>

  微信圖片_20210705173031.jpg

  Elfors還提到,瑞典的一條鐵道線路與一家大型連鎖藥店同樣受到Kaseya事件波及。他說,“這完全是是毀滅性的?!?/p>

  美國總統(tǒng)拜登上周六在密歇根州的采訪中也被問及Kaseya事件。他回應稱,就是為了聽取關于這次事件的簡報,他下飛機的時間才會有所推遲。他表示“聯(lián)邦政府已經投入全部資源”開展相關調查,“初步認為幕后黑手不是俄羅斯政府,但還不能最終確定?!?/p>

  0day漏洞攻破防線,

  篡改軟件更新散布勒索軟件

  威脅研究人員Kevin Beaumont說,相關組織受害者是通過Kaseya軟件更新中招的,他們收到的最新更新不是Kaseya官方的,而是被篡改為REvil勒索軟件。

  而Kaseya之所以被黑,是因為攻擊者利用其系統(tǒng)中一個此前未知的零日漏洞突破了防線。當零日漏洞被發(fā)現(xiàn)時,軟件制造商需要花費時間去進行修復。在修復之前的防御真空期,網絡犯罪分子和間諜可以利用該漏洞進行破壞。

  Beaumont認為,這次攻擊標志著勒索軟件團伙戰(zhàn)術的重大升級。在以前的攻擊中,REvil大多通過網絡釣魚、盜取密碼或缺乏多因素認證的組合實施入侵。

  荷蘭漏洞披露研究所(DIVD)的研究人員稱,已經向Kaseya公司報告了這一漏洞,但據(jù)了解情況的人說,Kaseya在被入侵、軟件更新被劫持時,仍在開發(fā)補丁。

  托管服務商也受影響,

  上千家企業(yè)面臨風險

  這次時間于上周五被正式公開。Kaseya公司表示自己很可能已經成為攻擊的受害者。該公司敦促,使用其程序管理平臺VSA的客戶應立即關閉服務器,防止內部系統(tǒng)被攻擊者入侵。

  微信圖片_20210705173054.jpg

  DIVD數(shù)據(jù)顯示,發(fā)布安全預警后,公網上的VSA服務器從2200臺快速下降到上百臺

  Kaseya公司在官方網站上宣布,“我們的VSA平臺很可能受到了網絡攻擊,但影響范圍應該只有少數(shù)采取本地部署的客戶。”也就是那些沒有將業(yè)務托管在云服務商,而是在自有網站上部署軟件程序的客戶。“我們正全力調查事件態(tài)勢與發(fā)生原因。”

  Kaseya公司CEO Fred Voccola在上周六的一份聲明中提到,受到攻擊影響的客戶不足40家,但其中包括不少托管服務供應商(至少8家),它們每家都可以為幾十甚至幾百家公司提供安全和技術工具。

  安全廠商Huntress Labs的研究員John Hammond稱,這無疑放大了本輪攻擊的嚴重性。

  Hammond解釋道,“這次攻擊的特別之處,在于感染態(tài)勢很有可能從托管服務供應商,擴散至更多企業(yè)客戶當中。Kaseya公司為全球眾多企業(yè)提供服務支持,因此任何規(guī)模、任何行業(yè)的企業(yè)最終都有可能受到本輪攻擊的影響?!?/p>

  Hammond還表示,部分受影響的企業(yè)已經收到勒索威脅,贖金高達500萬美元。他說,上千家企業(yè)面臨著風險。

  微信圖片_20210705173111.jpg

  美國網絡安全與基礎設施安全局周五發(fā)布聲明,將此次事件定性為“供應鏈勒索軟件攻擊”,它敦促Kaseya公司的客戶及時關閉自有服務器,表示已經著手開展調查。

  最近幾個月,黑客團伙已經先后針對JBS、科洛尼爾等多家美國相關企業(yè)發(fā)動一系列重大網絡攻擊,直接導致科洛尼爾管道系統(tǒng)停轉、東海岸油氣供應短缺。這兩起事件都是勒索軟件攻擊,黑客試圖關閉系統(tǒng)令其陷入癱瘓,要挾支付贖金。

 

本站內容除特別聲明的原創(chuàng)文章之外,轉載內容只為傳遞更多信息,并不代表本網站贊同其觀點。轉載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創(chuàng)文章及圖片等內容無法一一聯(lián)系確認版權者。如涉及作品內容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。