簡介
2021 年 7 月 2 日，Kaseya 的客戶收到了影響公司 VSA 產品的漏洞的通知，表示漏洞以惡意代碼毒害了產品的更新機制。 VSA 是一種用於網絡和端點的遠程監控和管理工具，供企業客戶和託管服務提供商 (MSP) 使用。據 Kaseya 稱，它敦促客戶關閉 VSA，以防止攻擊者遠程訪問更多資產。作為預防措施，Kaseya 還關閉了 VSA 的雲版本和所有 SaaS 服務器。儘管最初認為只有 50 家使用本地 VSA 的公司成為攻擊目標，但隨著數字攀升至 1,500-2,000 家公司可能會受到此次重大攻擊的影響，不斷變化的情況揭示了更多潛在受害者。潛在受害者的數量可能要大得多，因為 Kaseya 的客戶本身就是為自己的客戶群提供服務的 MSP。因此，那些依賴 VSA 提供遠程監控服務的人也可能受到攻擊的影響。此次攻擊讓人想起 SolarWinds 的 Orion 漏洞和 Accelion 攻擊，其中一個中毒的軟件更新感染了一群客戶。這次 REvil 勒索軟件團伙依樣畫葫蘆，在全球範圍內造成嚴重破壞。這一次，軟件更新是 Kaseya 的 VSA 遠程管理工具，它被惡意代碼毒化，引發了一系列事件，最終被該組織的勒索軟件感染。據悉，Revil 以 7000 萬美元的贖金要求開始，後來將其降低到 5000 萬美元，以發布適用於所有受影響受害者的解密器。

攻擊手法
隸屬於 REvil 勒索軟件的威脅參與者能夠利用 Kaseya VSA 本地解決方案中的零日文件上傳和代碼注入漏洞。據報導，CVE-2021-30116 是攻擊者最初利用的安全漏洞。該漏洞允許繞過身份驗證並執行任意命令，這在後來幫助攻擊者下載並分發偽裝為 VSA 更新的惡意加載程序到安裝了 VSA 代理的受害系統。懷疑不止一個安全漏洞使攻擊達到其目標。 IBM X-Force 的威脅情報指數顯示，組織最常見的切入點是利用策略，超越網絡釣魚和使用被盜憑據。在 VSA 服務器暴露於網絡的情況下，任何已知漏洞都可能被攻擊者武器化並利用，從而有可能從遠程位置破壞它。受感染的 VSA 代理隨後啟動 PowerShell 命令禁用反惡意軟件保護，然後安裝並執行 REvil 勒索軟件負載。勒索軟件在其感染的設備上加密數據，使其無法訪問。

影響範圍
受這次襲擊影響最大的受害者之一是瑞典連鎖超市 Coop。 有超過 800 家實體雜貨店，其中許多在襲擊後關閉，目前尚不清楚何時恢復可以讓 Coop 完全恢復運營。多個行業的組織都報告了問題，在政府、專業服務、零售和批發等領域發現了受害者。 公司來自世界各地，包括英國、南非、加拿大、阿根廷、墨西哥、印度尼西亞、新西蘭和肯尼亞。 由於情況不斷發展，這些細節可能會隨著時間的推移而改變。

攻擊者的要求
REvil 最初在他們的“快樂博客”上發布了贖金要求，可通過 TOR 瀏覽器訪問，要求提供 7000 萬美元的比特幣以發布解密器，以幫助所有相關受害者解鎖在攻擊中加密的文件。與單一攻擊的情況不同，REvil 成員似乎沒有在數據加密階段之前從受害者那裡竊取數據。一個合理的原因可能是急於發起攻擊，並擔心數據洩露需要很長時間，另一項可能為過早暴露該團伙的操作。此外，開發後要收集的數據量可能是巨大的。由於數據沒有被洩露，如果受害者能夠使用事件響應和災難恢復計劃從備份中恢復，則 REvil 無法向受害者施加壓力。REvil 團伙降低了贖金要求，從 7000 萬美元降低到 5000 萬美元，希望能早日收到贖金。據稱，他們還允許受害者使用門羅幣而不是比特幣來支付贖金，並願意協商價格以獲得更具體的解密器，以解鎖某些文件擴展名。一些受害者試圖與 REvil 進行私下談判，其中贖金要求各不相同，在某些情況下低至 50,000 美元。

應對手法
2021 年 7 月 5 日，Kaseya 發布了一個修補程式來解決此事件中利用的漏洞。CISA 和聯邦調查局 (FBI) 繼續對這次襲擊做出回應。 CISA 警告企業為所有帳戶啟用和強制執行多因素身份驗證，而不僅僅是特權帳戶。CISA 和 FBI 強烈敦促受影響的 MSP 及其客戶遵循 CISA 發布的指南。負責網絡和新興技術的副國家安全顧問 Anne Neuberger 就此次攻擊發表了一份聲明，敦促任何認為其係統在 Kaseya 勒索軟件事件中受到損害的人立即向 www.IC3.gov 上的互聯網犯罪投訴中心報告

參考資料：
https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-1-000-plus-companies-in-msp-supply-chain-attack/