Kaseya勒索軟件攻擊者聲稱入侵100萬台設備:索要7000萬美元贖金
據報導,在遠程IT服務管理軟件Kaseya VSA遭到勒索軟件攻擊後3天,此次事件的影響範圍也漸漸明晰:攻擊者在最新提出的贖金要求中聲稱,他們入侵了100多萬台電腦,索要7000萬美元(約合人民幣4.5億元)解密這些受影響的設備。
託管服務提供商使用Kaseya的軟件遠程從事IT項目,但在7月2日,與俄羅斯有聯繫的REvil勒索軟件攻擊團伙卻部署了一款惡意軟件更新,對使用該平台的提供商及其客戶造成影響。
荷蘭漏洞披露研究所(DIVD)透露,此次攻擊使用的漏洞似乎與他們發現的一個漏洞相同,而在攻擊發生時,他們正在處理此事。“我們已經對備份和系統管理工具及其漏洞展開了廣泛調查。”DIVD說,“Kaseya VSA就是我們調查的產品之一。我們發現該產品存在嚴重漏洞,並向Kaseya發送報告,此後一直與之保持定期聯繫。”
上週五,Kaseya CEO弗雷德·沃考拉(Fred Vocolla)表示,“我們只有很少的客戶受到影響,目前估計全球範圍內不到40個。”網絡安全公司Sophos副總裁羅斯·麥克查(Ross McKerchar)上週日在聲明中透露:“這是Sophos迄今為止看到的傳播速度最快的勒索軟件攻擊。我們目前獲得的證據顯示,已經有70多個託管服務提供商受到影響,還有超過350家組織受到影響。我們預計,實際受影響的組織數量比任何一家安全公司報告的數字都要多。”
在美國總統拜登之前發表的評論的基礎上,負責網絡和新興技術的美國副國家安全顧問安妮·紐伯格(Anne Neuberger)進一步表示:“聯邦調查局(FBI)和網絡安全與基礎設施安全局(CISA)將出面聯繫受害者,以便根據對國家風險的評估提供幫助。”
安全公司Huntress Labs也參與了攻擊應對活動,並對大多數可用信息進行歸檔。該公司稱,此次攻擊影響了該公司追踪的1000多家企業。
Sophos、Huntress和其他安全公司都提到了REvil在其“快樂博客”(Happy Blog)上發表的一篇文章,聲稱有超過100萬台設備遭到感染,並要求通過比特幣支付7000萬美元才能解鎖這些設備。
REvil已經實施了多起勒索軟件攻擊,包括2019年6月與Kaseya有關的一次攻擊,以及今年早些時候瞄準肉類供應商JBS發起的攻擊。但安全研究人員馬庫斯·哈欽斯(Marcus Hutchins)對該組織的聲明持懷疑態度,他認為他們為了索要更多贖金而誇大了影響範圍。
目前為止,Coop成為受到此次攻擊影響最顯著的公司之一,該公司在瑞典擁有800多家雜貨店,但因為攻擊導致其收銀台故障而被迫在上週六關店。該公司在官網上發布通知稱,可以使用其Scan&Pay手機應用購物的門店已經重新開業,其他門店依然關閉。
專家週二預計,當美國企業周二結束獨立日假期後,可能會發現更多受害企業。
攻擊發生3天后,Kaseya的SaaS雲服務器依然處於離線狀態。該公司表示,他們將於今晚提供服務器恢復的最新時間表,並將披露更多與此次攻擊有關的技術細節,幫助客戶和研究人員採取恢復措施。