週四下午開始，REvil勒索軟件團伙（又名Sodinokibi）似乎又盯上了擁有數千名客戶的託管服務提供商（MSPs）。作為Kaseya VSA供應鏈攻擊的一部分，目前已知有8個大型的MSP遭到了攻擊。據悉，Kaseya VSA是一個基於雲的MSP平台，允許提供商為客戶執行補丁管理和客戶端監控任務。

Huntress Labs的John Hammond向 BleepingComputer 透露，所有受影響的MSP都在使用Kaseya VSA，且他們有證據表明他們的客戶也受到了影響，包括3個Huntress合作夥伴/大約200家企業。

截止美東時間當天下午2 點，此類潛在攻擊似乎僅限於少數內部部署客戶。但Kaseya 還是在網站上發布了安全公告，警告所有VSA 客戶立即關閉他們的服務器，以防止事態的進一步蔓延。

目前我們正在非常謹慎地調查時間的根本原因，但在收到進一步的通知之前，建議大家立即關閉自家的VSA 服務器。

該操作至關重要，還請立即執行，因為攻擊者做的第一件事，就是關上VSA 管理訪問的大門。

執行REvil勒索軟件的PowerShell命令（圖via Reddit）

在致BleepingComputer 的一份聲明中，Kaseya 表示他們已經關閉了自家的SaaS 服務器，並且正在與其它安全公司合作調查這一事件。

此外大多數勒索軟件加密攻擊都選在了周末的深夜進行，因為那時負責網絡監控的人手最少。鑑於本次攻擊發生在周五中午，攻擊者很可能瞄準這週末發起更大範圍的行動。

agent.exe 可執行文件的簽名

John Hammond 與Sophos 的Mark Loman 都向BleepingComputer 透露，針對MSP 的攻擊，似乎是通過Kaseya VSA 發起的供應鏈攻擊。

前者稱，Kaseya VSA 會將agent.crt 文件放到c:kworking 文件夾中，並作為“Kaseya VSA Agent Hot-fix”更新來分發。

然後藉助合法的Windows certutil.exe這個PowerShell命令對agent.crt文件進行解碼，並將agent.exe文件提取到同一文件夾中。

agent.exe 使用了來自“PB03 TRANSPORT LTD”的簽名證書，輔以嵌入的“MsMpEng.exe”和“mpsvc.dll”（後面這個動態鏈接庫文件又被REvil 勒索軟件的加密器所使用）。

agent.exe 提取並啟動的嵌入式資源代碼

MsMPEng.exe 是合法的Microsoft Defender 可執行文件的舊版本，它被當做LOLBin 以調用動態鏈接庫（DLL）文件，並通過受信任的可執行文件進行加密。

此外一些樣本還向受感染的計算機注入了帶有政治色彩的Windows 註冊表項及配置更改，比如BleepingComputer 就在[VirusTotal] 樣本中看到了BlackLivesMatter 密鑰被用於存儲來自攻擊者的配置信息。

若不幸中招，勒索軟件團伙會向受害者索取500 萬美元的贖金，以獲得針對其中一個樣本的解密器。

而且通常REvil 會在部署文件加密型勒索軟件前竊取受害者的數據，但目前尚不清楚本次攻擊有洩露哪些文件。