又一家美國IT管理軟件被黑，因0day漏洞突破防線，軟件更新被篡改向其客戶傳播勒索軟件，事態(tài)一發(fā)不可收拾，拜登總統(tǒng)又收到勒索軟件簡報(bào)；

　　上千家企業(yè)或受影響，包括至少8家使用其軟件的托管服務(wù)商（客戶也被勒索），受影響最大的瑞士最大零售連鎖店Coop，旗下至少800家門店被迫停業(yè)；

　　REvil勒索軟件宣布對此負(fù)責(zé)，聲稱已經(jīng)鎖定了超過一百萬個(gè)系統(tǒng)，要挾索要價(jià)值7000萬美元的比特幣贖金。

　　7月2日，為40000多家組織提供服務(wù)的美國IT管理軟件廠商Kaseya披露，已經(jīng)淪為“復(fù)雜網(wǎng)絡(luò)攻擊”的受害者。這導(dǎo)致包括瑞典最大雜貨零售品牌在內(nèi)的全球數(shù)百家企業(yè)，上周六啟動(dòng)緊急應(yīng)急響應(yīng)，以應(yīng)對潛在的違規(guī)漏洞。

　　安全研究人員稱，這次攻擊可能由俄羅斯相關(guān)的勒索軟件犯罪組織REvil實(shí)施。美國聯(lián)邦調(diào)查局稱，該組織曾在今年5月針對全球最大肉類供應(yīng)商JBS發(fā)起大型網(wǎng)絡(luò)攻擊。

　　REvil在其暗網(wǎng)博客上確認(rèn)對這次事件負(fù)責(zé)，聲稱在7月2日發(fā)動(dòng)攻擊后，已經(jīng)鎖定了超過一百萬個(gè)系統(tǒng)，要挾受害企業(yè)支付價(jià)值7000萬美元的比特幣，以換取所有系統(tǒng)的通用解密器。

　　近千家零售店被迫關(guān)門，

　　拜登總統(tǒng)又收到勒索軟件簡報(bào)

　　據(jù)安全廠商Yubico公司網(wǎng)絡(luò)安全研究員Sebastian Elfors介紹，上周六，瑞典雜貨零售連鎖店Coop被迫關(guān)閉了至少 800家門店，商店門外放著將顧客拒之門外的告示牌，“我們的IT系統(tǒng)遭遇不可抗力干擾，已經(jīng)無法正常工作。”

　　Elfors還提到，瑞典的一條鐵道線路與一家大型連鎖藥店同樣受到Kaseya事件波及。他說，“這完全是是毀滅性的。”

　　美國總統(tǒng)拜登上周六在密歇根州的采訪中也被問及Kaseya事件。他回應(yīng)稱，就是為了聽取關(guān)于這次事件的簡報(bào)，他下飛機(jī)的時(shí)間才會(huì)有所推遲。他表示“聯(lián)邦政府已經(jīng)投入全部資源”開展相關(guān)調(diào)查，“初步認(rèn)為幕后黑手不是俄羅斯政府，但還不能最終確定。”

　　0day漏洞攻破防線，

　　篡改軟件更新散布勒索軟件

　　威脅研究人員Kevin Beaumont說，相關(guān)組織受害者是通過Kaseya軟件更新中招的，他們收到的最新更新不是Kaseya官方的，而是被篡改為REvil勒索軟件。

　　而Kaseya之所以被黑，是因?yàn)楣粽呃闷湎到y(tǒng)中一個(gè)此前未知的零日漏洞突破了防線。當(dāng)零日漏洞被發(fā)現(xiàn)時(shí)，軟件制造商需要花費(fèi)時(shí)間去進(jìn)行修復(fù)。在修復(fù)之前的防御真空期，網(wǎng)絡(luò)犯罪分子和間諜可以利用該漏洞進(jìn)行破壞。

　　Beaumont認(rèn)為，這次攻擊標(biāo)志著勒索軟件團(tuán)伙戰(zhàn)術(shù)的重大升級。在以前的攻擊中，REvil大多通過網(wǎng)絡(luò)釣魚、盜取密碼或缺乏多因素認(rèn)證的組合實(shí)施入侵。

　　荷蘭漏洞披露研究所（DIVD）的研究人員稱，已經(jīng)向Kaseya公司報(bào)告了這一漏洞，但據(jù)了解情況的人說，Kaseya在被入侵、軟件更新被劫持時(shí)，仍在開發(fā)補(bǔ)丁。

　　托管服務(wù)商也受影響，

　　上千家企業(yè)面臨風(fēng)險(xiǎn)

　　這次時(shí)間于上周五被正式公開。Kaseya公司表示自己很可能已經(jīng)成為攻擊的受害者。該公司敦促，使用其程序管理平臺(tái)VSA的客戶應(yīng)立即關(guān)閉服務(wù)器，防止內(nèi)部系統(tǒng)被攻擊者入侵。

　　DIVD數(shù)據(jù)顯示，發(fā)布安全預(yù)警后，公網(wǎng)上的VSA服務(wù)器從2200臺(tái)快速下降到上百臺(tái)

　　Kaseya公司在官方網(wǎng)站上宣布，“我們的VSA平臺(tái)很可能受到了網(wǎng)絡(luò)攻擊，但影響范圍應(yīng)該只有少數(shù)采取本地部署的客戶。”也就是那些沒有將業(yè)務(wù)托管在云服務(wù)商，而是在自有網(wǎng)站上部署軟件程序的客戶。“我們正全力調(diào)查事件態(tài)勢與發(fā)生原因。”

　　Kaseya公司CEO Fred Voccola在上周六的一份聲明中提到，受到攻擊影響的客戶不足40家，但其中包括不少托管服務(wù)供應(yīng)商（至少8家），它們每家都可以為幾十甚至幾百家公司提供安全和技術(shù)工具。

　　安全廠商Huntress Labs的研究員John Hammond稱，這無疑放大了本輪攻擊的嚴(yán)重性。

　　Hammond解釋道，“這次攻擊的特別之處，在于感染態(tài)勢很有可能從托管服務(wù)供應(yīng)商，擴(kuò)散至更多企業(yè)客戶當(dāng)中。Kaseya公司為全球眾多企業(yè)提供服務(wù)支持，因此任何規(guī)模、任何行業(yè)的企業(yè)最終都有可能受到本輪攻擊的影響。”

　　Hammond還表示，部分受影響的企業(yè)已經(jīng)收到勒索威脅，贖金高達(dá)500萬美元。他說，上千家企業(yè)面臨著風(fēng)險(xiǎn)。

　　美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局周五發(fā)布聲明，將此次事件定性為“供應(yīng)鏈勒索軟件攻擊”，它敦促Kaseya公司的客戶及時(shí)關(guān)閉自有服務(wù)器，表示已經(jīng)著手開展調(diào)查。

　　最近幾個(gè)月，黑客團(tuán)伙已經(jīng)先后針對JBS、科洛尼爾等多家美國相關(guān)企業(yè)發(fā)動(dòng)一系列重大網(wǎng)絡(luò)攻擊，直接導(dǎo)致科洛尼爾管道系統(tǒng)停轉(zhuǎn)、東海岸油氣供應(yīng)短缺。這兩起事件都是勒索軟件攻擊，黑客試圖關(guān)閉系統(tǒng)令其陷入癱瘓，要挾支付贖金。