买球赛用什么app!

手工皮具缝线新闻 REvil勒索柔件团伙行使Kaseya长途管理柔件供答链抨击瞄准MSP

买球赛用什么app

手工皮具缝线新闻 REvil勒索柔件团伙行使Kaseya长途管理柔件供答链抨击瞄准MSP
发布日期:2021-07-12 02:10    点击次数:142

据报道手工皮具缝线新闻,来自世界各地的1000多家企业受到了供答链抨击的影响,黑客正行使名为Kaseya VSA的长途计算机管理工具中的漏洞来安放REvil勒索柔件。现在,Kaseya已经关闭了其基于云的服务,并敦促一切运走本地安放的用户——包括很多托管服务挑供商(MSP)——立即关闭其易受抨击的服务器,直至发布补丁。

原形上,这并不是网络作恶分子和勒索柔件团伙第一次将MSP行为访问企业网络的“入口”。然而,对于很多布局而言,退守这栽抨击序言并不容易,由于外包IT管理就意味着要为MSP挑供对其网络和编制的高度特权访问。

Kaseya VSA抨击的影响

7月2日(上周五),针对Kaseya VSA服务器的抨击事件出现在了美国。抨击者能够是有意选择在壮大节伪日(7.3-7.5日为美国自力日伪期)或周末之前发动抨击,主意是期待坦然团队的反答速度会慢一些,由于在美国,员工在伪期前的做事时长缩幼是很常见的。

Kaseya在一份通知中外示,“吾们的客户中只有很幼一片面受到了影响——现在推想全球不到 40家。吾们信任已经掌握了漏洞来源,并正在为吾们的本地安放客户准备一个补丁进走缓解。吾们会在完善彻底的测试之后手工皮具缝线新闻,尽快发布该补丁,以使吾们的客户恢复平常运走。”

现在,该公司已经关闭了VSA的SaaS版本,但指出其云托管服务的客户并未面临风险。 Kaseya VSA是一栽IT长途监控和管理(RMM)解决方案,IT和网络管理员能够行使它来主动修缮端点和服务器、管理备份和防病毒安放、主动实走其他IT流程以及长途解决和倾轧IT题目。而为了能够实走一切这些义务,Kaseya VSA 柔件必须以管理员级别的访问权限运走。

据Kaseya介绍,其RMM解决方案拥有超过36000名用户,所以受影响的客户不到40家听首来实在是一个幼批字。但是,按照第三方通知指出,很多受影响的客户是MSP,它们行使Kaseya VSA来管理数百家企业的编制和网络。

托管要挟检测和反答供答商Huntress的高级坦然钻研员John Hammond在一篇博文中外示,“吾们正在跟踪美国、澳大利亚、欧盟和拉丁美洲的约 30个MSP,发现其中很多企业与Kaseya VSA存在配相符有关,而抨击者已经经由过程Kaseya VSA添密了超过1000家企业。一切这些VSA服务器都是本地安放,Huntress 已确认网络作恶分子已经行使了SQLi 漏洞,并且专门有信念行使身份验证绕过漏洞来访问这些服务器。”

Kaseya正在修复这些漏洞

按照荷兰漏洞吐露钻研所 (DIVD) 的说法,其钻研人员已经在上周末发现了抨击中行使的一些零日漏洞,并已将这些新闻通知给了Kaseya手工皮具缝线新闻,以便其尽早开发出补丁程序。

DIVD主席兼钻研主管Victor Gevers称,“在整个过程中,Kaseya已经外明他们情愿在该事件中支付最大的辛勤和主动性来解决这个题目并协助客户完善漏洞修复,他们做出了清晰且诚信的准许。值得警惕的是,抨击者能够在客户完善修复之前不息行使这些漏洞。”

据Gevers称,DIVD不息在与国家CERTS和其他配相符友人配相符,以识别和有关公开袒露的 Kaseya VSA服务器的用户,并指出公开袒露的实例数目已经从最初的2200消极到不能140。

在补丁准备好之前,Kaseya 提出客户不要开启他们的本地VSA 服务器。但是,该公司发布了一栽侵犯检测工具,可用于扫描VSA服务器或Kaseya管理的端点,以查找此次抨击的侵犯迹象。

REvil及其安放手段

REvil,也称为Sodinokibi,是一栽展现于2019年4月的勒索柔件要挟,并在另一个名为 GandCrab的RaaS团伙关闭其服务后声名鹊首。REvil 行为勒索柔件即服务(RaaS)平台运营,经由过程招募配相符友人进走抨击和勒索添密手工皮具缝线新闻,末了各方进走分成。在以前的一年里,REvil 已经成为感染企业网络最常见的勒索柔件之一。由于凶意柔件由分歧的“会员”分发,所以初首访问向量以及抨击者在网络内采取的走动各不相通。

按照坦然钻研员Kevin Beaumont的说法,一旦抨击者经由过程行使零日漏洞获得对Kaseya VSA实例的访问权限,他们就会立即停留管理员对该柔件的访问权限,以防止抨击被不准。然后,他们会竖立一个名为“Kaseya VSA Agent Hot-fix”的义务,将捏造的Kaseya代理更新推送到经由过程该柔件管理的编制中。

这个子虚更新实际上就是REvil 勒索柔件。必要清晰的是,这意味着非Kaseya客户的布局仍能够会被添密。

鉴于Kaseya文档提出客户从防病毒扫描中倾轧装配了VSA长途管理代理及其组件的文件夹,所以该凶意更新的安放能够进一步推进。

装配后,REvil勒索柔件会实走PowerShell命令,禁用Microsoft Defender for Endpoint的几个主要功能:实时监控、IPS、云查找、脚本扫描、受控文件夹访问(勒索柔件预防)、网络珍惜和云样本挑交。该凶意柔件还会试图篡改其他供答商(包括 Sophos)的防病毒产品,并禁用各栽备份编制。

该勒索网站托管在Tor网络上,赎金货币为门罗币(Monero)。HitmanPro凶意柔件分析师 Mark Loman分享的屏幕截图表现,赎金金额为 50000 美元。但有报道称,与此次抨击有关的赎金请求为500万美元。清淡来说,勒索柔件团伙会按照他们对受害者年收好的晓畅来调整勒索金额。

MSP和长途管理工具并不是新抨击现在标

针对MSP及其行使的管理柔件(例如 Kaseya)的抨击并不是什么新形象。 2018年1月,坦然公司eSentire通知称,抨击者经由过程Kaseya VSA中的漏洞抨击了其多多客户,主意是在他们的编制上安放添密货币发掘凶意柔件。Kaseya 随后就发布了一个补丁来解决该漏洞。

2019年8月,REvil勒索柔件团伙设法损坏了一家位于德克萨斯州的MSP(名为TSM Consulting Services),并向其客户安放了勒索柔件,影响了德克萨斯州的22个城市。

同年早些时候,勒索柔件布局行使ConnectWise ManagedITSync integration(一栽旨在在 ConnectWise Manage PSA 和 Kaseya VSA RMM 之间同步数据的实用程序)中的一个旧漏洞来损坏MSP。坦然公司Armor Defense的一份通知指出,2019年有13个MSP和云服务挑供商受到抨击,导致多多市政政府、学区和私营企业的编制感染了勒索柔件。

【编辑选举】手工皮具缝线新闻

鸿蒙官方战略配相符共建——HarmonyOS技术社区 黑藏深层代码之中的十大“长寿”漏洞 Bitdefender坦然通知:黑客行使Kaseya IT管理柔件来分发REvil勒索病毒 微柔确认一切Windows编制都存在PrintNightmare漏洞 CISA发布勒索柔件自吾评估坦然审计工具 一切Windows编制都存在PrintNightmare漏洞,且被普及行使