提供永久免费的API接口，查看更多API接口，如果您有其他免费API资源，请联系我们，造福人类。

定制开发，免费评估，免费咨询，价格便宜，售后保障，前往开发服务中心或联系开发客服中心

Kaseya是MSP和企业客户的IT解决方案开发商，他宣布自己已成为7月2日美国独立日周末网络攻击的受害者。 

攻击者似乎利用Kaseya的VSA软件中的漏洞对多个托管服务提供商（MSP）及其客户实施了供应链勒索软件攻击。

请参阅：网络安全策略（TechRepublic Premium）

该攻击让人想起SolarWinds安全惨败，其中，攻击者设法破坏供应商的软件，向数千名客户推送恶意更新。然而，我们还没有弄清楚卡西亚的勒索事件会有多普遍。 

这是我们目前所知道的一切。随着我们了解更多，ZDNet将更新这本初级读物。 

凯西亚的国际总部位于爱尔兰都柏林，美国总部位于佛罗里达州迈阿密。该供应商在10个国家设有办事处。 

Kaseya提供包括VSA在内的IT解决方案，VSA是一种统一的远程监控和管理工具，用于处理网络和端点。此外，公司还提供合规系统、服务台和专业服务自动化平台。 

该公司的软件设计考虑了企业和管理服务提供商（msp），Kaseya表示，全球超过40000家公司至少使用一种Kaseya软件解决方案。作为为其他公司服务的MSPs的技术提供商，Kaseya是更广泛的软件供应链的核心。 

美国东部时间7月2日下午2:00，正如ZDNet之前报道的那样，Kaseya首席执行官Fred Voccola宣布“针对VSA的潜在攻击仅限于少数本地客户。”

同时，出于谨慎，Voccola敦促客户立即关闭VSA服务器。 

“这一点至关重要，因为攻击者首先要做的事情之一就是关闭对VSA的管理访问，”这位高管说。 

通过电子邮件、电话和在线通知通知客户违规行为。 

在Kaseya的事件响应团队调查时，该供应商还决定主动关闭其SaaS服务器并使其数据中心离线。 

到7月4日，该公司已经修改了对事件严重性的看法，称自己是“复杂网络攻击的受害者” 

FireEye Mandiant团队的网络取证专家以及其他安全公司已经被派来协助。 

“我们的安全、支持、研发；D、 Kaseya说：“通信和客户团队继续在所有地区24小时不停地工作，以解决问题并恢复我们的客户服务。”Kaseya补充说，在数据中心重新上线之前，还需要更多的时间。 

一旦SaaS服务器开始运行，Kaseya将发布一个向on-prem客户端分发安全补丁的时间表。 

美国联邦调查局（FBI）简洁地描述了这起事件：“利用Kaseya VSA软件中的漏洞对多个MSP及其客户进行的供应链勒索软件攻击。”，2） 已跟踪了30个参与攻击的MSP，并“高度自信”地认为攻击是通过Kaseya VSA web界面中的身份验证绕过漏洞触发的。 

根据网络安全公司的说法，这使得攻击者能够绕过身份验证控制，获得经过身份验证的会话，上传恶意负载，并通过SQL注入执行命令，实现过程中的代码执行。 

“VSA服务器的一些功能是部署软件和自动化IT任务，”Sophos指出因此，它对客户设备的信任度很高。通过渗透VSA服务器，任何连接的客户机都将毫无疑问地执行VSA服务器请求的任何任务。这很可能是Kaseya成为攻击目标的原因之一。”

供应商还对攻击进行了深入的技术分析。 

安全专家Kevin Beaumont说，勒索软件是通过使用Kaseya VSA（被称为“Kaseya VSA代理热修复程序”）的自动、虚假和恶意软件更新来推送的。

“这个虚假更新随后被部署到整个庄园——包括MSP客户端客户的系统——因为它是一个虚假的管理代理更新，”Beaumont评论道此管理代理更新实际上是REvil勒索软件。很明显，这意味着不是Kaseya客户的组织仍然被加密。”

根据RiskIQ的提示，Huntress还在调查一个可能被用作攻击启动点的AWS IP地址。 

上周末，Kaseya表示SaaS客户“从未面临风险”，目前的估计显示，全球只有不到40家on-prem客户受到影响。 

然而，应该注意的是，虽然少数Kaseya客户可能直接受到感染，但作为MSP，链下游依赖这些服务的SMB客户可能会受到影响。 

据报道，瑞典800家Coop超市连锁店因无法打开收银机而不得不暂时关闭。

亨特尔斯在Reddit的一篇解释文章中说，估计有1000家公司的服务器和工作站已经加密。Sophos副总裁Ross McKerchar说：“这是Sophos见过的影响最深远的勒索软件犯罪攻击之一。”目前，我们的证据显示，超过70家托管服务提供商受到了影响，导致超过350家企业受到进一步影响。我们预计受害者组织的范围将比任何一家安全公司报告的范围都要大。”

勒索软件是一种专门用于文件和驱动器加密的恶意软件S 

在现代企业目前面临的最严重的安全问题之一中，勒索软件被世界各地的威胁行为者用来劫持系统和破坏运营。 

一旦受害者的系统或网络被加密，网络犯罪分子就会在系统上放一张赎金单，要求对方支付解密密钥的报酬（可能有效，也可能无效）。 

今天的勒索软件运营商在“订阅”访问和使用特定类型的勒索软件时，可能是勒索软件即服务（RaaS）的一部分。另一个新的趋势是双重勒索，在勒索软件突袭中，受害者的信息会被窃取。 

如果他们拒绝付款，他们可能会面临数据被出售或在线发布的前景。 

常见和著名的勒索软件家族包括REvil、Locky、WannaCry、Gandcrab、Cerber、NotPetya、Maze和Darkside。 

继续阅读：什么是勒索软件？关于网络上最大的威胁之一，你需要知道的一切也请参见：

网络攻击是由REvil/Sodinikibi勒索软件集团造成的，该集团在其黑暗的网站“快乐博客”（Happy Blog）上声称对此负责，运营商声称已经有超过一百万个系统被感染。 

REvil提供了一个解密密钥，据称是通用的，因此能够解锁所有加密系统，价格为7000万美元的比特币（BTC）加密货币。

REvil此前曾与针对公司的勒索软件攻击有关， 包括JBS、Travelex和Acer。 

勒索软件声明文件是“加密的，目前不可用”。据报道使用了文件扩展名.csruj。运营商要求支付一个解密密钥的报酬，一个免费的解密文件也在表上，以证明解密密钥的工作。 

操作员添加（拼写不变）：

“这只是一项业务。我们绝对不关心你和你的交易，除了获得利益。如果我们不做我们的工作和责任-没有人会不与我们合作。这不符合我们的利益。如果你不配合我们的服务——对我们来说，这无关紧要。但是你会失去你的时间和数据，因为我们只有私钥。实际上，时间比金钱更有价值。”

Sophos恶意软件分析师MarkLoman在Twitter上分享了一张截图，截图中一张勒索短信植入了一个受感染的端点，索要44999美元。 

Huntess高级安全研究员约翰•哈蒙德（JohnHammond）告诉ZDNet，公司已经收到了高达500万美元的赎金要求。 

凯文·博蒙特说，不幸的是，他观察到受害者与勒索软件的操作人员“悲伤地谈判”。 

Emsisoft的首席技术官费比安•沃萨（Fabian Wosar）也在Twitter的一条帖子中解释了为什么使用一个单一组织获得的密钥付费不太可能是解锁所有受害者的可行途径。 

“REvil绝对有能力只解密一个受害者，而这些购买的解密工具不适用于被同一个活动公钥击中的其他受害者，”安全专家指出。

在发生漏洞时，Kaseya通知了执法和网络安全机构，包括联邦调查局（FBI）和美国网络安全和基础设施安全局（CISA）。

联邦调查局和CISA已经就这起安全事件发表了联合声明，并敦促客户使用Kaseya提供的工具来确定被利用的风险，在可能的情况下，对企业帐户启用和实施多因素身份验证（MFA）。

白宫要求各组织在怀疑自己被泄露的情况下通知互联网犯罪投诉中心（IC3）。

周六，美国总统拜登说，他已指示联邦情报机构进行调查。 

Kaseya说，截至7月4日，公司已经从攻击的根本原因分析转向恢复和修补计划，包括：

首先与SaaS沟通分阶段恢复计划，然后是内部客户。 Kaseya将公布这次攻击的概要以及我们为减轻攻击所做的工作。  出于谨慎起见，一些很少使用的传统VSA功能将作为本版本的一部分被删除。发行说明中将列出该功能的具体列表及其对VSA功能的影响。 将实施新的安全措施，包括通过FireEye增强对SaaS服务器的安全监控，并启用增强的WAF功能。 我们已经成功地完成了外部漏洞扫描，检查了SaaS数据库是否存在泄露迹象，并让外部安全专家审查了我们的代码，以确保成功重启服务。

将恢复从欧盟开始的数据中心，然后是英国、亚太地区，然后是北美系统。 

Kaseya发布了一个工具，包括妥协指标（IoC），可以通过Box下载。有两个PowerShell脚本可供使用：一个在VSA服务器上，另一个是为端点扫描而设计的。 

自我评估脚本应在离线模式下使用。 

但是，这些脚本仅用于潜在的漏洞利用风险检测，而不是安全修复。Kaseya将尽快发布补丁，但与此同时，客户只需等待。 

“所有本地VSA服务器应继续保持离线状态，直到Kaseya进一步指示何时可以安全恢复运营，”该公司表示在重新启动VSA之前，需要安装修补程序。“

Cado Security为响应程序提供了GitHub存储库，包括恶意软件示例、IOC和Yara规则。 

Kaseya还警告说 经验丰富的勒索软件和 接收来自攻击者的通信 应该 不点击 任何 链接  --  他们 可能被武器化了。”

微软揭露身份验证失败，Netgear路由器存在系统劫持漏洞哥伦比亚警方怀疑Gozi特洛伊木马发行商中国黑客组织冒充阿富汗总统潜入政府机构罗比尼奥下令支付7000万美元通过注册给“数百万”交易员造成的“伤害”，您同意使用条款，并承认隐私政策中概述的数据实践。

您还将获得免费订阅的ZDNet今日技术更新和ZDNet公告时事通讯。您可以随时取消订阅这些时事通讯。

您同意接收CBS系列公司的更新、提醒和促销活动，包括ZDNet的今日技术更新和ZDNet公告时事通讯。您可以随时取消订阅

2023-03-22 10:04:37