Kaseya軟件供應鏈勒索軟件攻擊事件持續(xù)發(fā)酵，眾多網絡安全團隊目前仍在積極工作，以阻止有記錄以來全球規(guī)模最大的一次勒索軟件攻擊的影響。這個與俄羅斯有關聯(lián)的犯罪團伙是如何攻破軟件公司的，一些細節(jié)正在浮出。美國FBI已發(fā)布安全警報，并聯(lián)合CISA發(fā)布緩解措施及應對指南。總統(tǒng)表示，如果證實與俄羅斯關聯(lián)，美國將會采取嚴厲措施。

　　勒索事件影響

　　網絡安全研究人員說，臭名昭著的“雷維”（REvil）團伙的一個分支，在7月2日感染了至少17個國家的數千名受害者，主要是通過為多個客戶遠程管理IT基礎設施的公司。

　　瑞典連鎖超市Coop表示，由于收銀機軟件供應商的癱瘓，其800家門店中的大部分周日將進入第二天關閉。瑞典一家連鎖藥店、連鎖加油站、國家鐵路和公共廣播公司SVT也受到了影響。

　　德新社（dpa）報道稱，在德國，一家未透露姓名的IT服務公司告訴當局，它的數千名客戶受到了侵害。據報道，受害者還包括兩家荷蘭IT服務公司——VelzArt和Hoppenbrouwer Techniek。大多數勒索軟件受害者不會公開報告攻擊或披露他們是否支付了贖金。

　　被入侵的軟件公司Kaseya的首席執(zhí)行官Voccola估計受害者人數在幾千人左右，主要是像“牙科診所、建筑公司、整形手術中心、圖書館等”這樣的小企業(yè)。Kaseya表示，它在3日晚上向近900名客戶發(fā)送了一款檢測工具。

　　Kaseya表示，攻擊只影響“內部”客戶，即運行自己數據中心的組織，而不是為客戶運行軟件的云服務。不過，作為預防措施，它也關閉了這些服務器。

　　Kaseya于當地時間2日呼吁客戶立即關閉他們的VSA服務器，4日說希望在未來幾天有一個補丁。

　　Voccola在一次采訪中表示，公司的3.7萬名客戶中，只有50-60人受到了影響。但70%是管理服務提供商，他們使用該公司被黑的VSA軟件來管理多個客戶。它自動安裝軟件和安全更新，并管理備份和其他重要任務。

　　研究人員說，REvil索要高達500萬美元的贖金。但4日晚些時候，該公司在其暗網站上發(fā)布了一個通用解密軟件密鑰，該密鑰可以破解所有受影響的機器，換取價值7000萬美元的加密貨幣。

　　美國政府反應

　　早些時候，聯(lián)邦調查局在一份聲明中表示，雖然它正在調查這次襲擊，但其規(guī)模“可能使我們無法對每個受害者單獨作出回應。”副國家安全顧問安妮·紐伯格（Anne Neuberger）隨后發(fā)表聲明稱，美國總統(tǒng)喬·拜登（Joe Biden）已“指示政府動用全部資源調查這起事件”，并敦促所有認為自己受到影響的人通知聯(lián)邦調查局。

　　拜登當地時間7月3表示，如果確定克里姆林宮參與其中，美國將做出回應。

　　不到一個月前，拜登曾向俄羅斯總統(tǒng)普京（Vladimir Putin）施壓，要求其停止為REvil和其他勒索軟件團伙提供安全庇護，美國認為這些團伙的無情勒索攻擊是對美國國家安全的威脅。

　　針對利用 Kaseya VSA 軟件中的漏洞針對多個托管服務提供商 （MSP） 及其客戶的供應鏈勒索軟件攻擊，CISA 和聯(lián)邦調查局 （FBI） 發(fā)布了緩解措施及應對指南。

　　網絡安全公司評析

　　網絡安全公司Sophos報道稱，在最近的這次攻擊中，很多企業(yè)和公共機構都受到了攻擊，顯然遍布各大洲，包括金融服務、旅游、休閑和公共部門，但很少有大公司受到攻擊。勒索軟件罪犯滲透網絡，播下惡意軟件，擾亂他們的所有數據，使他們癱瘓。受害者付錢后會得到解碼密鑰。

　　專家說，REvil在7月4日的周末假期開始時發(fā)動了攻擊，當時他們知道美國辦公室將會人手不足，這并非巧合。許多受害者可能直到周一上班后才知道這件事。大多數管理服務提供商的終端用戶“不知道”是誰的軟件讓他們的網絡保持運轉，Voccola說，

　　網絡安全公司Recorded Future的分析師艾倫·里斯卡（Allan Liska）說，REvil以7000萬美元的價格為Kaseya攻擊的所有受害者提供全面解密，這表明該公司無力應對受感染網絡的龐大數量。盡管分析師報告稱，對更大目標的需求分別為500萬美元和50萬美元，但大多數目標的需求顯然為4.5萬美元。

　　“這次襲擊比他們預期的要嚴重得多，因此得到了很多關注。迅速結束這一交易符合REvil的利益。”“這簡直是一場噩夢。”

　　Emsisoft的分析師布雷特？卡洛（Brett Callow）表示，他懷疑REvil是希望保險公司能夠仔細分析這些數字，并確定7000萬美元的保險費用將比延長停機時間更便宜。

　　復雜的勒索軟件團伙在啟動勒索軟件之前，通常會檢查受害者的財務記錄——如果能找到的話，還會檢查他們的保單。犯罪分子然后威脅說，如果不支付贖金，就把偷來的數據發(fā)布到網上。在這次襲擊中，這種情況似乎沒有發(fā)生。

　　荷蘭研究人員稱，他們向總部位于邁阿密的Kaseya報警，稱犯罪分子使用了“零日”（zero day，這個行業(yè)術語，指之前未知的軟件安全漏洞）漏洞。Voccola不愿證實此事，也不愿提供泄露的細節(jié)，只是說這不是網絡釣魚。這里的復雜程度非同一般，“他說。

　　網絡安全公司Mandiant完成調查后，Voccola說，他相信調查將顯示，犯罪分子不僅違反了Kaseya的代碼，侵入了他的網絡，而且還利用了第三方軟件的漏洞。

　　荷蘭漏洞研究人員維克托·格弗斯（Victor Gevers）表示，他的團隊對Kaseya的VSA這樣的產品感到擔憂，因為它們可以提供對巨大計算資源的全面控制。他在7月4日的一篇博客中寫道：”越來越多用于保證網絡安全的產品正顯示出結構性弱點。“

　　網絡安全公司ESET確認了至少17個國家的受害者，包括英國、南非、加拿大、阿根廷、墨西哥、印度尼西亞、新西蘭和肯尼亞。

　　卡巴斯基表示，REvil又名Sodinokibi，該勒索軟件團伙對管理服務提供商（MSPs）及其客戶端實施了攻擊。一些受害者是通過流行的MSP軟件入侵的，導致他們的客戶加密。加密企業(yè)的總數可能達到數千家。

　　REvil使用Salsa20對稱流算法加密文件內容，并使用橢圓曲線非對稱算法加密密鑰。如果沒有網絡罪犯的密鑰，受此惡意軟件影響的文件解密是不可能的，因為在惡意軟件中使用了安全的加密方案。

　　REvil勒索組織自2019年4月開始運營，提供”勒索軟件即服務“（ransomware-a-service），這意味著該公司開發(fā)了能導致網絡癱瘓的軟件，并將其出租給感染目標的所謂附屬公司，從而賺取最大份額的贖金。美國官員說，最強大的勒索軟件團伙以俄羅斯及其盟國為基地，在克里姆林宮的容忍下運作，有時還與俄羅斯安全機構勾結。

　　西爾維拉多政策加速器（Silverado Policy Accelerator）智庫的網絡安全專家德米特里·阿爾佩羅維奇（Dmitri Alperovitch）說，雖然他不認為對Kaseya的攻擊是克里姆林宮指使的，但這表明普京”尚未采取行動“打擊網絡犯罪分子。