Kaseya軟件供應(yīng)鏈勒索軟件攻擊事件持續(xù)發(fā)酵，眾多網(wǎng)絡(luò)安全團(tuán)隊(duì)目前仍在積極工作，以阻止有記錄以來全球規(guī)模最大的一次勒索軟件攻擊的影響。這個(gè)與俄羅斯有關(guān)聯(lián)的犯罪團(tuán)伙是如何攻破軟件公司的，一些細(xì)節(jié)正在浮出。美國FBI已發(fā)布安全警報(bào)，并聯(lián)合CISA發(fā)布緩解措施及應(yīng)對(duì)指南。總統(tǒng)表示，如果證實(shí)與俄羅斯關(guān)聯(lián)，美國將會(huì)采取嚴(yán)厲措施。

　　勒索事件影響

　　網(wǎng)絡(luò)安全研究人員說，臭名昭著的“雷維”（REvil）團(tuán)伙的一個(gè)分支，在7月2日感染了至少17個(gè)國家的數(shù)千名受害者，主要是通過為多個(gè)客戶遠(yuǎn)程管理IT基礎(chǔ)設(shè)施的公司。

　　瑞典連鎖超市Coop表示，由于收銀機(jī)軟件供應(yīng)商的癱瘓，其800家門店中的大部分周日將進(jìn)入第二天關(guān)閉。瑞典一家連鎖藥店、連鎖加油站、國家鐵路和公共廣播公司SVT也受到了影響。

　　德新社（dpa）報(bào)道稱，在德國，一家未透露姓名的IT服務(wù)公司告訴當(dāng)局，它的數(shù)千名客戶受到了侵害。據(jù)報(bào)道，受害者還包括兩家荷蘭IT服務(wù)公司——VelzArt和Hoppenbrouwer Techniek。大多數(shù)勒索軟件受害者不會(huì)公開報(bào)告攻擊或披露他們是否支付了贖金。

　　被入侵的軟件公司Kaseya的首席執(zhí)行官Voccola估計(jì)受害者人數(shù)在幾千人左右，主要是像“牙科診所、建筑公司、整形手術(shù)中心、圖書館等”這樣的小企業(yè)。Kaseya表示，它在3日晚上向近900名客戶發(fā)送了一款檢測(cè)工具。

　　Kaseya表示，攻擊只影響“內(nèi)部”客戶，即運(yùn)行自己數(shù)據(jù)中心的組織，而不是為客戶運(yùn)行軟件的云服務(wù)。不過，作為預(yù)防措施，它也關(guān)閉了這些服務(wù)器。

　　Kaseya于當(dāng)?shù)貢r(shí)間2日呼吁客戶立即關(guān)閉他們的VSA服務(wù)器，4日說希望在未來幾天有一個(gè)補(bǔ)丁。

　　Voccola在一次采訪中表示，公司的3.7萬名客戶中，只有50-60人受到了影響。但70%是管理服務(wù)提供商，他們使用該公司被黑的VSA軟件來管理多個(gè)客戶。它自動(dòng)安裝軟件和安全更新，并管理備份和其他重要任務(wù)。

　　研究人員說，REvil索要高達(dá)500萬美元的贖金。但4日晚些時(shí)候，該公司在其暗網(wǎng)站上發(fā)布了一個(gè)通用解密軟件密鑰，該密鑰可以破解所有受影響的機(jī)器，換取價(jià)值7000萬美元的加密貨幣。

　　美國政府反應(yīng)

　　早些時(shí)候，聯(lián)邦調(diào)查局在一份聲明中表示，雖然它正在調(diào)查這次襲擊，但其規(guī)?！翱赡苁刮覀儫o法對(duì)每個(gè)受害者單獨(dú)作出回應(yīng)。”副國家安全顧問安妮·紐伯格（Anne Neuberger）隨后發(fā)表聲明稱，美國總統(tǒng)喬·拜登（Joe Biden）已“指示政府動(dòng)用全部資源調(diào)查這起事件”，并敦促所有認(rèn)為自己受到影響的人通知聯(lián)邦調(diào)查局。

　　拜登當(dāng)?shù)貢r(shí)間7月3表示，如果確定克里姆林宮參與其中，美國將做出回應(yīng)。

　　不到一個(gè)月前，拜登曾向俄羅斯總統(tǒng)普京（Vladimir Putin）施壓，要求其停止為REvil和其他勒索軟件團(tuán)伙提供安全庇護(hù)，美國認(rèn)為這些團(tuán)伙的無情勒索攻擊是對(duì)美國國家安全的威脅。

　　針對(duì)利用 Kaseya VSA 軟件中的漏洞針對(duì)多個(gè)托管服務(wù)提供商 （MSP） 及其客戶的供應(yīng)鏈勒索軟件攻擊，CISA 和聯(lián)邦調(diào)查局 （FBI） 發(fā)布了緩解措施及應(yīng)對(duì)指南。

　　網(wǎng)絡(luò)安全公司評(píng)析

　　網(wǎng)絡(luò)安全公司Sophos報(bào)道稱，在最近的這次攻擊中，很多企業(yè)和公共機(jī)構(gòu)都受到了攻擊，顯然遍布各大洲，包括金融服務(wù)、旅游、休閑和公共部門，但很少有大公司受到攻擊。勒索軟件罪犯滲透網(wǎng)絡(luò)，播下惡意軟件，擾亂他們的所有數(shù)據(jù)，使他們癱瘓。受害者付錢后會(huì)得到解碼密鑰。

　　專家說，REvil在7月4日的周末假期開始時(shí)發(fā)動(dòng)了攻擊，當(dāng)時(shí)他們知道美國辦公室將會(huì)人手不足，這并非巧合。許多受害者可能直到周一上班后才知道這件事。大多數(shù)管理服務(wù)提供商的終端用戶“不知道”是誰的軟件讓他們的網(wǎng)絡(luò)保持運(yùn)轉(zhuǎn)，Voccola說，

　　網(wǎng)絡(luò)安全公司Recorded Future的分析師艾倫·里斯卡（Allan Liska）說，REvil以7000萬美元的價(jià)格為Kaseya攻擊的所有受害者提供全面解密，這表明該公司無力應(yīng)對(duì)受感染網(wǎng)絡(luò)的龐大數(shù)量。盡管分析師報(bào)告稱，對(duì)更大目標(biāo)的需求分別為500萬美元和50萬美元，但大多數(shù)目標(biāo)的需求顯然為4.5萬美元。

　　“這次襲擊比他們預(yù)期的要嚴(yán)重得多，因此得到了很多關(guān)注。迅速結(jié)束這一交易符合REvil的利益。”“這簡直是一場噩夢(mèng)?！?/p>

　　Emsisoft的分析師布雷特？卡洛（Brett Callow）表示，他懷疑REvil是希望保險(xiǎn)公司能夠仔細(xì)分析這些數(shù)字，并確定7000萬美元的保險(xiǎn)費(fèi)用將比延長停機(jī)時(shí)間更便宜。

　　復(fù)雜的勒索軟件團(tuán)伙在啟動(dòng)勒索軟件之前，通常會(huì)檢查受害者的財(cái)務(wù)記錄——如果能找到的話，還會(huì)檢查他們的保單。犯罪分子然后威脅說，如果不支付贖金，就把偷來的數(shù)據(jù)發(fā)布到網(wǎng)上。在這次襲擊中，這種情況似乎沒有發(fā)生。

　　荷蘭研究人員稱，他們向總部位于邁阿密的Kaseya報(bào)警，稱犯罪分子使用了“零日”（zero day，這個(gè)行業(yè)術(shù)語，指之前未知的軟件安全漏洞）漏洞。Voccola不愿證實(shí)此事，也不愿提供泄露的細(xì)節(jié)，只是說這不是網(wǎng)絡(luò)釣魚。這里的復(fù)雜程度非同一般，“他說。

　　網(wǎng)絡(luò)安全公司Mandiant完成調(diào)查后，Voccola說，他相信調(diào)查將顯示，犯罪分子不僅違反了Kaseya的代碼，侵入了他的網(wǎng)絡(luò)，而且還利用了第三方軟件的漏洞。

　　荷蘭漏洞研究人員維克托·格弗斯（Victor Gevers）表示，他的團(tuán)隊(duì)對(duì)Kaseya的VSA這樣的產(chǎn)品感到擔(dān)憂，因?yàn)樗鼈兛梢蕴峁?duì)巨大計(jì)算資源的全面控制。他在7月4日的一篇博客中寫道：”越來越多用于保證網(wǎng)絡(luò)安全的產(chǎn)品正顯示出結(jié)構(gòu)性弱點(diǎn)。“

　　網(wǎng)絡(luò)安全公司ESET確認(rèn)了至少17個(gè)國家的受害者，包括英國、南非、加拿大、阿根廷、墨西哥、印度尼西亞、新西蘭和肯尼亞。

　　卡巴斯基表示，REvil又名Sodinokibi，該勒索軟件團(tuán)伙對(duì)管理服務(wù)提供商（MSPs）及其客戶端實(shí)施了攻擊。一些受害者是通過流行的MSP軟件入侵的，導(dǎo)致他們的客戶加密。加密企業(yè)的總數(shù)可能達(dá)到數(shù)千家。

　　REvil使用Salsa20對(duì)稱流算法加密文件內(nèi)容，并使用橢圓曲線非對(duì)稱算法加密密鑰。如果沒有網(wǎng)絡(luò)罪犯的密鑰，受此惡意軟件影響的文件解密是不可能的，因?yàn)樵趷阂廛浖惺褂昧税踩募用芊桨浮?/p>

　　REvil勒索組織自2019年4月開始運(yùn)營，提供”勒索軟件即服務(wù)“（ransomware-a-service），這意味著該公司開發(fā)了能導(dǎo)致網(wǎng)絡(luò)癱瘓的軟件，并將其出租給感染目標(biāo)的所謂附屬公司，從而賺取最大份額的贖金。美國官員說，最強(qiáng)大的勒索軟件團(tuán)伙以俄羅斯及其盟國為基地，在克里姆林宮的容忍下運(yùn)作，有時(shí)還與俄羅斯安全機(jī)構(gòu)勾結(jié)。

　　西爾維拉多政策加速器（Silverado Policy Accelerator）智庫的網(wǎng)絡(luò)安全專家德米特里·阿爾佩羅維奇（Dmitri Alperovitch）說，雖然他不認(rèn)為對(duì)Kaseya的攻擊是克里姆林宮指使的，但這表明普京”尚未采取行動(dòng)“打擊網(wǎng)絡(luò)犯罪分子。