史上最高赎金诞生了

作者：发布时间:2021-07-08 08:36:19点击:1557

美国东部时间周五下午2点左右Kaseya被攻击，2021年7月3日晚上7:30和晚上9:00又连续被攻击、7月4日上午10:00Kaseya再次发出警告，Kaseya被攻击。这次攻击针对的是Kaseya的本地VSA产品。

目前Kaseya强烈建议本地客户的VSA服务器保持离线状态，直至另行通知。

此次攻击中，攻击者利用漏洞发送恶意KaseyaVSA软件更新，该更新被打包了一种勒索软件，可以加密受感染系统上的文件。

根据安全研究员KevinBeaumont的说法，VSA以管理员权限运行，这使得攻击者也可以将勒索软件发送给受影响的MSP的客户。

一旦感染了受害者系统，恶意软件试图禁用各种MicrosoftDefenderforEndpoint保护，包括实时监控、IPS、脚本扫描、网络保护、云样本提交、云查找和受控文件夹访问。在部署勒索软件之前，VSA管理员帐户显然已被禁用。

根据Huntress的说法，本次攻击似乎是由REvil/Sodinokibi勒索软件即服务运营者发起。

Kaseya是一家为托管服务提供商(MSP)和IT公司提供IT管理软件的公司，他们将周末遭到的REvil(又名Sodinokibi)勒索软件攻击描述为针对其本地VSA产品的“复杂的网络攻击”。除了建议所有客户关闭其本地VSA服务器，直至另行通知外，Kaseya还决定在调查进行期间立即关闭他们的软件即服务(SaaS)服务器，作为一项保守的安全措施。

REvil勒索软件攻击者截止发文时，Kaseya尚未发布有关此次攻击的技术信息，但网络安全和基础设施安全局(CISA)透露，攻击者利用Kaseya的VSA软件推送恶意脚本。

攻击者利用VSA软件推送恶意PowerShell脚本，然后将REvil勒索软件载荷加载到客户系统上。同样重要的是，非kaseya的客户也可能通过他们的服务提供商受到影响。

影响KaseyaVSA的Sodinokibi/REvil勒索软件(检测为Ransom.Win32.SODINOKIBI.YABGC)会禁用某些服务并终止与合法软件(如浏览器和生产力应用程序)相关的进程。

REvil勒索软件被认为是GandCrab的迭代产品，以针对知名受害者并采用双重勒索策略迫使受害者支付赎金而闻名。REvil攻击者也是最近针对肉类供应商JBS的大规模勒索软件攻击的幕后黑手。

安全建议虽然调查仍在进行中，但对于受影响的用户来说，遵循Kaseya的指导来保护他们的系统免受进一步损害是很重要的。截至2021年7月3日晚9点(美国东部时间)，该公司已建议关闭所有本地VSA服务器，只有在部署补丁后才能重新启动。

由于勒索软件可以具有多个入口点和加密功能，因此企业需要良好的备份策略和多层安全方法来保护其网络并保护其关键业务数据：

电子邮件和Web保护通过阻止垃圾邮件和对恶意链接的访问来防止勒索软件进入你的网络;服务器保护保护服务器免受可利用的漏洞的影响;网络保护通过防止勒索软件从服务器传播到终端或从终端传播到终端来保护你的网络;终端保护通过阻止勒索软件运行来保护终端;卡巴斯基TIP查询页面的0x561CFFBABA71A6E8CC1CDCEDA990EAD4二进制文件部分

为了保护你的公司免受勒索软件2.0攻击，卡巴斯基专家建议：

除非绝对必要，否则不要将远程桌面服务(例如RDP)暴露给公共网络，并且始终为它们使用强密码;及时安装商用VPN解决方案可用的补丁，为远程员工提供访问并充当网络中的网关;在你使用的所有设备上保持软件更新，以防止勒索软件利用漏洞;4.把你的防御策略集中在检测横向移动和数据泄露到互联网上，要特别注意流出的流量，以检测网络罪犯的连接。定期备份数据，确保在需要的紧急情况下可以快速访问它。使用最新的威胁情报信息来了解攻击者者使用的实际TTP。

上一篇：交换机口子区别

上一篇：内存出现异常的解决方法是什么