提供永久免费的API接口，查看更多API接口，如果您有其他免费API资源，请联系我们，造福人类。

定制开发，免费评估，免费咨询，价格便宜，售后保障，前往开发服务中心或联系开发客服中心

Kaseya已经宣布，它正在处理一个大规模的勒索软件攻击，现在可能影响到至少8个msp和数百个组织，这家远程管理解决方案提供商表示，“目前正在遭遇针对VSA的潜在攻击，截至美国东部时间今天下午2:00，该攻击仅限于少数本地客户。” 

“我们正在谨慎地调查事件的根本原因，但我们建议您立即关闭VSA服务器，直到收到我们的进一步通知，”该公司说。 

“您必须立即执行此操作，因为攻击者首先要做的事情之一是关闭对VSA的管理访问。”

Kaseya已根据攻击情况关闭其VSA远程监视和管理工具的所有SaaS实例。 

Huntess高级安全研究员约翰•哈蒙德（John Hammond）告诉ZDNet，他们是在美国东部时间12:35第一次接到有关袭击的通知，并表示“这是一个全方位的发展，能够做出反应，让社区意识到这一点。” 

哈蒙德将此次袭击归咎于多产的REvil/Sodinikibi勒索软件集团和Bleeping Computer，唱片公司和NBC新闻都报道说REvil或其附属公司是罪魁祸首。据称，通过对VSA软件的更新，REvil正在广泛传播勒索软件。 

“我们无法强调的是，我们不知道这是如何渗透到Kaseya的VSA中的。目前，没有人这样做。我们知道有四家MSP的所有客户都受到了影响——三家在美国，一家在国外。“有超过数千个端点的MSP被击中，”Hammond在Hunterse将总数更新到8个之前说。 

“我们已经看到，当一个MSP被破坏时，我们已经看到证据表明它已经通过VSA传播到了MSP的所有客户。Kaseya的VSA可以是prem或云托管的。他们目前所有的云服务器都处于离线状态，以便进行紧急维护。” 

哈蒙德补充说，亨特瑞斯的三个合作伙伴受到了影响，“大约有200家企业被加密。” 

他解释说，agent.crt被Kaseya VSA删除，然后用certutil解码，以分割出agent.exe，在agent.exe中嵌入了“MsMpEng.exe”和“mpsvc.dll”。 

合法的Windows Defender可执行文件被用于侧载恶意DLL。对所有受害者来说，这是完全相同的二元关系。”。 

Huntress威胁要更新有关情况的Reddit，并表示有迹象表明，只有在勒索软件部署之前，VSA管理员用户帐户才会被禁用。

CISA在Twitter上发表声明，称该组织“正在采取行动，了解并解决针对Kaseya VSA的供应链勒索软件攻击”以及使用VSA软件的多个MSP。” 

Sophos的恶意软件分析师马克·洛曼（Mark Loman）在Twitter上分享了一篇关于这次攻击的长篇帖子，他说一些受害者已经看到一个索要44999美元赎金的页面。哈蒙德告诉ZDNet，Huntress已经看到了500万美元的赎金要求。 

这远不是Kaseya的工具第一次被用来传播勒索软件攻击。正如ZDNet此前报道的那样，REvil的前任Gandcrab在2019年曾两次利用Kaseya发起攻击，首先使用Kaseya插件，然后在当年晚些时候使用VSA产品。 

勒索软件参与者通常在周末或晚上发动攻击，因为观看系统的人较少。 

Sophos发布了一份详细的指南，让潜在的受害者了解自己是否受到攻击。 

Nozomi Networks的技术传道者克里斯•格罗夫（Chris Grove）表示，这些类型的供应链攻击，比如SolarWinds，会“直接影响到那些希望从漏洞中恢复过来的组织” "这些类型的技术管理解决方案可能具有高度的风险集中性，因为它们收集了大量具有提升权限的企业帐户，运行时需要不受限制的防火墙规则，以及一种文化上的‘信任’，即进出它们的流量是合法的，应该被允许的，”格罗夫说。 

勒索软件攻击导致网络再保险费率上升40%

泄露的基础设施代码、凭证和密钥每年平均使组织损失120万美元：1密码，专家们质疑，注册会计师是否应该与东道国分离后，通过注册确认“东风”/P> < P > SAP合作伙伴与哥伦比亚大学网络安全分集倡议< /P> < P>。您同意使用条款，并承认隐私政策中概述的数据实践。

您还将获得免费订阅的ZDNet今日技术更新和ZDNet公告时事通讯。您可以随时取消订阅这些时事通讯。

您同意接收CBS系列公司的更新、提醒和促销活动，包括ZDNet的今日技术更新和ZDNet公告时事通讯。您可以随时取消订阅

2023-03-22 10:04:37