Kaseya軟件供應(yīng)鏈勒索軟件攻擊事件持續(xù)發(fā)酵，眾多網(wǎng)絡(luò)安全團隊目前仍在積極工作，以阻止有記錄以來全球規(guī)模最大的一次勒索軟件攻擊的影響。這個與俄羅斯有關(guān)聯(lián)的犯罪團伙是如何攻破軟件公司的，一些細(xì)節(jié)正在浮出。美國FBI已發(fā)布安全警報，并聯(lián)合CISA發(fā)布緩解措施及應(yīng)對指南?？偨y(tǒng)表示，如果證實與俄羅斯關(guān)聯(lián)，美國將會采取嚴(yán)厲措施。

　　勒索事件影響

　　網(wǎng)絡(luò)安全研究人員說，臭名昭著的“雷維”（REvil）團伙的一個分支，在7月2日感染了至少17個國家的數(shù)千名受害者，主要是通過為多個客戶遠(yuǎn)程管理IT基礎(chǔ)設(shè)施的公司。

　　瑞典連鎖超市Coop表示，由于收銀機軟件供應(yīng)商的癱瘓，其800家門店中的大部分周日將進(jìn)入第二天關(guān)閉。瑞典一家連鎖藥店、連鎖加油站、國家鐵路和公共廣播公司SVT也受到了影響。

　　德新社（dpa）報道稱，在德國，一家未透露姓名的IT服務(wù)公司告訴當(dāng)局，它的數(shù)千名客戶受到了侵害。據(jù)報道，受害者還包括兩家荷蘭IT服務(wù)公司——VelzArt和Hoppenbrouwer Techniek。大多數(shù)勒索軟件受害者不會公開報告攻擊或披露他們是否支付了贖金。

　　被入侵的軟件公司Kaseya的首席執(zhí)行官Voccola估計受害者人數(shù)在幾千人左右，主要是像“牙科診所、建筑公司、整形手術(shù)中心、圖書館等”這樣的小企業(yè)。Kaseya表示，它在3日晚上向近900名客戶發(fā)送了一款檢測工具。

　　Kaseya表示，攻擊只影響“內(nèi)部”客戶，即運行自己數(shù)據(jù)中心的組織，而不是為客戶運行軟件的云服務(wù)。不過，作為預(yù)防措施，它也關(guān)閉了這些服務(wù)器。

　　Kaseya于當(dāng)?shù)貢r間2日呼吁客戶立即關(guān)閉他們的VSA服務(wù)器，4日說希望在未來幾天有一個補丁。

　　Voccola在一次采訪中表示，公司的3.7萬名客戶中，只有50-60人受到了影響。但70%是管理服務(wù)提供商，他們使用該公司被黑的VSA軟件來管理多個客戶。它自動安裝軟件和安全更新，并管理備份和其他重要任務(wù)。

　　研究人員說，REvil索要高達(dá)500萬美元的贖金。但4日晚些時候，該公司在其暗網(wǎng)站上發(fā)布了一個通用解密軟件密鑰，該密鑰可以破解所有受影響的機器，換取價值7000萬美元的加密貨幣。

　　美國政府反應(yīng)

　　早些時候，聯(lián)邦調(diào)查局在一份聲明中表示，雖然它正在調(diào)查這次襲擊，但其規(guī)模“可能使我們無法對每個受害者單獨作出回應(yīng)?！备眹野踩檰柊材荨ぜ~伯格（Anne Neuberger）隨后發(fā)表聲明稱，美國總統(tǒng)喬·拜登（Joe Biden）已“指示政府動用全部資源調(diào)查這起事件”，并敦促所有認(rèn)為自己受到影響的人通知聯(lián)邦調(diào)查局。

　　拜登當(dāng)?shù)貢r間7月3表示，如果確定克里姆林宮參與其中，美國將做出回應(yīng)。

　　不到一個月前，拜登曾向俄羅斯總統(tǒng)普京（Vladimir Putin）施壓，要求其停止為REvil和其他勒索軟件團伙提供安全庇護，美國認(rèn)為這些團伙的無情勒索攻擊是對美國國家安全的威脅。

　　針對利用 Kaseya VSA 軟件中的漏洞針對多個托管服務(wù)提供商 （MSP） 及其客戶的供應(yīng)鏈勒索軟件攻擊，CISA 和聯(lián)邦調(diào)查局 （FBI） 發(fā)布了緩解措施及應(yīng)對指南。

　　網(wǎng)絡(luò)安全公司評析

　　網(wǎng)絡(luò)安全公司Sophos報道稱，在最近的這次攻擊中，很多企業(yè)和公共機構(gòu)都受到了攻擊，顯然遍布各大洲，包括金融服務(wù)、旅游、休閑和公共部門，但很少有大公司受到攻擊。勒索軟件罪犯滲透網(wǎng)絡(luò)，播下惡意軟件，擾亂他們的所有數(shù)據(jù)，使他們癱瘓。受害者付錢后會得到解碼密鑰。

　　專家說，REvil在7月4日的周末假期開始時發(fā)動了攻擊，當(dāng)時他們知道美國辦公室將會人手不足，這并非巧合。許多受害者可能直到周一上班后才知道這件事。大多數(shù)管理服務(wù)提供商的終端用戶“不知道”是誰的軟件讓他們的網(wǎng)絡(luò)保持運轉(zhuǎn)，Voccola說，

　　網(wǎng)絡(luò)安全公司Recorded Future的分析師艾倫·里斯卡（Allan Liska）說，REvil以7000萬美元的價格為Kaseya攻擊的所有受害者提供全面解密，這表明該公司無力應(yīng)對受感染網(wǎng)絡(luò)的龐大數(shù)量。盡管分析師報告稱，對更大目標(biāo)的需求分別為500萬美元和50萬美元，但大多數(shù)目標(biāo)的需求顯然為4.5萬美元。

　　“這次襲擊比他們預(yù)期的要嚴(yán)重得多，因此得到了很多關(guān)注。迅速結(jié)束這一交易符合REvil的利益?！薄斑@簡直是一場噩夢?！?/p>

　　Emsisoft的分析師布雷特？卡洛（Brett Callow）表示，他懷疑REvil是希望保險公司能夠仔細(xì)分析這些數(shù)字，并確定7000萬美元的保險費用將比延長停機時間更便宜。

　　復(fù)雜的勒索軟件團伙在啟動勒索軟件之前，通常會檢查受害者的財務(wù)記錄——如果能找到的話，還會檢查他們的保單。犯罪分子然后威脅說，如果不支付贖金，就把偷來的數(shù)據(jù)發(fā)布到網(wǎng)上。在這次襲擊中，這種情況似乎沒有發(fā)生。

　　荷蘭研究人員稱，他們向總部位于邁阿密的Kaseya報警，稱犯罪分子使用了“零日”（zero day，這個行業(yè)術(shù)語，指之前未知的軟件安全漏洞）漏洞。Voccola不愿證實此事，也不愿提供泄露的細(xì)節(jié)，只是說這不是網(wǎng)絡(luò)釣魚。這里的復(fù)雜程度非同一般，“他說。

　　網(wǎng)絡(luò)安全公司Mandiant完成調(diào)查后，Voccola說，他相信調(diào)查將顯示，犯罪分子不僅違反了Kaseya的代碼，侵入了他的網(wǎng)絡(luò)，而且還利用了第三方軟件的漏洞。

　　荷蘭漏洞研究人員維克托·格弗斯（Victor Gevers）表示，他的團隊對Kaseya的VSA這樣的產(chǎn)品感到擔(dān)憂，因為它們可以提供對巨大計算資源的全面控制。他在7月4日的一篇博客中寫道：”越來越多用于保證網(wǎng)絡(luò)安全的產(chǎn)品正顯示出結(jié)構(gòu)性弱點?！?/p>

　　網(wǎng)絡(luò)安全公司ESET確認(rèn)了至少17個國家的受害者，包括英國、南非、加拿大、阿根廷、墨西哥、印度尼西亞、新西蘭和肯尼亞。

　　卡巴斯基表示，REvil又名Sodinokibi，該勒索軟件團伙對管理服務(wù)提供商（MSPs）及其客戶端實施了攻擊。一些受害者是通過流行的MSP軟件入侵的，導(dǎo)致他們的客戶加密。加密企業(yè)的總數(shù)可能達(dá)到數(shù)千家。

　　REvil使用Salsa20對稱流算法加密文件內(nèi)容，并使用橢圓曲線非對稱算法加密密鑰。如果沒有網(wǎng)絡(luò)罪犯的密鑰，受此惡意軟件影響的文件解密是不可能的，因為在惡意軟件中使用了安全的加密方案。

　　REvil勒索組織自2019年4月開始運營，提供”勒索軟件即服務(wù)“（ransomware-a-service），這意味著該公司開發(fā)了能導(dǎo)致網(wǎng)絡(luò)癱瘓的軟件，并將其出租給感染目標(biāo)的所謂附屬公司，從而賺取最大份額的贖金。美國官員說，最強大的勒索軟件團伙以俄羅斯及其盟國為基地，在克里姆林宮的容忍下運作，有時還與俄羅斯安全機構(gòu)勾結(jié)。

　　西爾維拉多政策加速器（Silverado Policy Accelerator）智庫的網(wǎng)絡(luò)安全專家德米特里·阿爾佩羅維奇（Dmitri Alperovitch）說，雖然他不認(rèn)為對Kaseya的攻擊是克里姆林宮指使的，但這表明普京”尚未采取行動“打擊網(wǎng)絡(luò)犯罪分子。