提供永久免费的API接口，查看更多API接口，如果您有其他免费API资源，请联系我们，造福人类。

定制开发，免费评估，免费咨询，价格便宜，售后保障，前往开发服务中心或联系开发客服中心

Kaseya是MSP和企业客户的IT解决方案开发商，他宣布自己已成为7月2日网络攻击的受害者，在美国独立日周末。

看来，攻击者利用Kaseya的VSA软件中的漏洞对多个托管服务提供商（MSP）及其客户实施了供应链勒索软件攻击。

据Kaseya首席执行官Fred Voccola说，该公司不到0.1%的客户卷入了这起违规事件，但由于他们的客户包括MSP，这意味着小型企业也卷入了这起事件。

目前的估计表明，800至1500家中小型企业可能通过MSP遭遇了勒索软件泄露。

这起攻击让人想起了SolarWinds的安全惨败，其中，攻击者设法破坏供应商的软件，向数千名客户推送恶意更新。然而，我们还没有弄清楚Kaseya的勒索事件会有多大范围发生。

以下是我们目前所知道的一切。随着我们了解更多信息，ZDNet将更新这本初级读物。

Kaseya的国际总部位于爱尔兰的都柏林，公司在美国的总部位于佛罗里达州的迈阿密。该供应商在10个国家/地区设有分支机构。

Kaseya提供了包括VSA在内的IT解决方案，VSA是一种统一的远程监控和管理工具，用于处理网络和端点。此外，该公司还提供合规系统、服务台和专业服务自动化平台。

该公司的软件设计考虑了企业和托管服务提供商（MSP），Kaseya表示，全球超过40000家公司至少使用一种Kaseya软件解决方案。作为为其他公司服务的MSPs的技术提供商，Kaseya是更广泛软件供应链的核心。

正如ZDNet之前报道的那样，美国东部时间7月2日下午2:00，Kaseya首席执行官Fred Voccola宣布“针对VSA的潜在攻击仅限于少数本地客户。”，出于谨慎，Voccola敦促客户立即关闭其VSA服务器。

“您必须立即这样做，因为攻击者首先要做的事情之一是关闭对VSA的管理访问，”这位高管说。

客户通过电子邮件、电话和，以及在线通知。

随着Kaseya事件响应小组的调查，该供应商还决定主动关闭其SaaS服务器并使其数据中心离线。

到7月4日，该公司已修改了对事件严重性的看法，称自己为“复杂网络攻击的受害者”。

FireEye Mandiant团队的网络取证专家与其他安全公司一起被派来协助。

“我们的安全、支持、R&；D、 Kaseya说：“通信和客户团队继续在所有地区24小时不停地工作，以解决问题并恢复我们的客户服务。”Kaseya补充说，在其数据中心重新上线之前，还需要更多的时间。

一旦SaaS服务器投入运行，Kaseya将公布一份向on-prem客户端分发安全补丁的时间表。

在7月5日的更新中，Kaseya表示，已经开发了一个补丁，将首先部署到SaaS环境中，一旦测试和验证检查完成。

“我们正在为本地客户开发新的补丁程序，与SaaS数据中心恢复并行，”该公司说我们首先在SaaS中进行部署，因为我们控制着该环境的各个方面。一旦开始，我们将公布为本地客户分发修补程序的时间表。”

联邦调查局简洁地描述了这起事件：“利用Kaseya VSA软件中的漏洞对多个MSP及其客户进行的供应链勒索软件攻击。”

Huntress（1，2） 追踪了30个参与攻击的MSP，并“高度自信”地认为攻击是通过Kaseya VSA web界面中的绕过身份验证漏洞触发的。

根据网络安全公司的说法，这使得攻击者能够绕过身份验证控制，获得一个经过身份验证的会话，上传恶意负载，通过SQL注入执行命令，实现过程中的代码执行，Hanslovan在7月6日的一次讨论攻击技术方面的网络研讨会上告诉与会者，应对攻击负责的威胁行为者“效率极高”。

“没有证据表明威胁行为者知道他们通过VSA瞄准了多少企业。”，Sophos还补充说，这起事件似乎更多地是由于“与时间赛跑”。

“VSA服务器的一些功能是部署软件和自动化IT任务。”因此，它对客户设备的信任度很高。通过渗透VSA服务器，任何连接的客户机都将毫无疑问地执行VSA服务器请求的任何任务。这可能是Kaseya成为攻击目标的原因之一。”

该供应商还对攻击进行了深入的技术分析。

安全专家Kevin Beaumont说，勒索软件是通过一个自动的、假的，以及使用Kaseya VSA进行的恶意软件更新，称为“Kaseya VSA代理热修复程序”。

“然后将此假更新部署到整个庄园，包括MSP客户端客户的系统上，因为它是一个假管理代理更新，”Beaumont评论道此管理代理更新实际上是REvil勒索软件。很明显，这意味着不是Kaseya客户的组织仍然被加密。”

根据RiskIQ的提示，Huntess还在调查一个可能被用作攻击启动点的AWS IP地址。

7月5日，Kaseya发布了一份攻击始于7月2日，有报告称端点上部署了勒索软件，执行团队召开会议，决定采取两个步骤来防止恶意软件的传播：我们向本地客户发送通知，要求他们关闭VSA服务器，并关闭VSA SaaS基础设施，攻击者利用zero day漏洞触发绕过身份验证并执行代码，从而用勒索软件感染端点。然而，Kaseya强调，没有证据表明VSA代码库被“恶意修改”。

Wietse Boonstra，一位荷兰漏洞披露研究所（DIVD）的研究人员，先前发现了一些漏洞，被追踪为CVE-2021-30116，这些漏洞被用于勒索软件攻击。他们是根据一项协调一致的漏洞披露协议报告的。

“一旦Kaseya意识到我们报告的漏洞，我们就一直与他们保持联系与合作。“当我们报告中的项目不清楚时，他们提出了正确的问题，”DIVD说此外，我们还分享了部分补丁，以验证其有效性。在整个过程中，Kaseya已经表明，他们愿意在这个案例中投入最大的努力和主动性，以解决这个问题，并修补他们的客户。”

上周末，Kaseya表示，SaaS客户“从未面临风险”，目前的估计表明，全球只有不到40个on-prem客户受到影响。

然而，应该注意的是，虽然有少数Kaseya客户可能直接感染了MSP，链下游依赖这些服务的中小企业客户可能会受到影响。

据报道，瑞典800家Coop超市连锁店因无法打开收银机而被迫暂时关闭。

Huntess在Reddit解释中说，估计有1，2000家公司的服务器和工作站已经加密。Sophos副总裁Ross McKerchar说：“这是Sophos见过的影响最深远的勒索软件犯罪攻击之一。”目前，我们的证据显示，超过70家托管服务提供商受到了影响，导致超过350家企业受到进一步影响。我们预计受害组织的范围将比任何一家安全公司报告的范围都要大。”

7月5日，Kaseya将之前的估计修改为“不到60个”客户，并补充说，“我们了解到迄今为止对下游企业的总影响不到1500家。”

现在，7月6日，Kaseya估计有50个直接客户，以及800到1500个下游企业。

说到SaaS环境，Kaseya说，“我们没有发现任何证据表明我们的SaaS客户受到了损害。”

在7月6日的新闻稿中，Kaseya坚持认为，“虽然影响了Kaseya的大约50个客户，但这次攻击从来都不是威胁，也没有对关键的基础设施造成任何影响。”

Kaseya首席执行官Fred Voccola说，这次攻击“对于极少数被攻破的人来说，简直糟透了。”

“事件发生两天后，“Voccola评论道。”我们大约有150人在过去的两天里大概睡了四个小时，从字面上说，这将一直持续到一切尽可能完美。”

该公司只有不到0.1%的客户经历了违约。

“不幸的是，这种情况发生了，而且确实发生了，”这位高管补充道但这并不意味着一切都好。这只意味着这就是我们今天生活的世界。”

勒索软件是一种专门对文件和驱动器进行加密的恶意软件。

现代企业面临的最严重的安全问题之一，勒索软件被全世界的威胁行为体用来劫持系统和干扰操作。

一旦受害者的系统或网络被加密，网络犯罪分子就会在系统上放置勒索单，要求支付解密密钥的报酬（可能是，也可能不是，工作）。

今天的勒索软件运营商在“订阅”访问和使用特定类型的勒索软件时，可能是勒索软件即服务（RaaS）的一部分。另一个新兴趋势是双重勒索，在勒索软件突袭过程中，受害者的信息会被窃取。

如果他们拒绝付款，他们可能会面临数据被出售或在线发布的前景。

常见和知名的勒索软件家族包括REvil、Locky、WannaCry、Gandcrab、Cerber、NotPetya、Maze，和黑暗面。

继续阅读：什么是勒索软件？关于网络上最大的威胁之一，你需要知道的一切也请参见：

网络攻击是由REvil/Sodinikibi勒索软件集团造成的，该集团在其黑暗的网站“快乐博客”（Happy Blog）上声称对此负责，运营商声称有超过“一百万”个系统被感染。

REvil提供了一个解密密钥，据称是通用的，因此能够解锁所有加密系统，以比特币（BTC）加密货币7000万美元的“便宜”价格出售。

此前，REvil与针对JBS、Travelex和Acer等公司的勒索软件攻击有关。

勒索软件说明声称文件“已加密，目前不可用”。据报道，使用了文件扩展名.csruj。运营商要求支付解密密钥的费用，同时还有一个“免费”文件解密，以证明解密密钥有效。

运营商补充道（拼写不变）：

“这只是一项业务。我们绝对不关心你和你的交易，除了获得利益。如果我们不做我们的工作和责任-没有人会不与我们合作。这不符合我们的利益。如果你不配合我们的服务——对我们来说，这无关紧要。但是你会失去你的时间和数据，因为我们只有私钥。实际上，时间比金钱更有价值。”

Sophos恶意软件分析师Mark Loman在Twitter上分享了一张截图，截图中一个被感染的端点上植入了勒索软件，索要44999美元。

Huntress的高级安全研究员John Hammond，Kevin Beaumont告诉ZDNet，公司已经收到了高达500万美元的赎金要求。

Kevin Beaumont说，不幸的是，他观察到受害者正在与勒索软件的运营商“悲伤地谈判”。

Emsisoft的首席技术官Fabian Wosar，在Twitter的一个帖子中，他还解释了为什么使用一个付费组织获得的密钥不太可能是解锁所有受害者的可行途径。

“REvil绝对有能力只解密一个受害者，而这些购买的解密工具不适用于同一个公众活动中的其他受害者“关键，”安全专家指出。

在发生漏洞时，Kaseya通知了执法部门和网络安全机构，包括联邦调查局（FBI）和美国网络安全和基础设施安全局（CISA）。

联邦调查局和CISA已经就这起安全事件发表了联合声明，并敦促客户使用Kaseya提供的工具来确定被利用的风险，以及对企业帐户启用和实施多因素身份验证（MFA），在可能的情况下。

Kaseya一直在与FBI和CISA举行会议，“讨论SaaS和本地客户恢复服务前的系统和网络加固要求”。

白宫要求各组织通知互联网犯罪投诉中心（IC3），如果他们怀疑他们已经妥协。

上周六，美国总统拜登说，他已指示联邦情报机构进行调查。

“瞄准（一个）MSP平台（一次管理许多客户）是经过深思熟虑和计划的，”Periple 81首席执行官阿米特·巴雷凯特（Amit Bareket）对ZDNet说其独特之处在于，黑客正变得更具战略性，目标平台将一炮而红，渗透到许多公司。RMMs（远程监控和管理）基本上是许多公司的关键，这相当于坏人的王国。”

截至7月4日，Kaseya说，公司已经从对攻击的根本原因分析转向恢复和修补计划，包括：

首先与SaaS沟通分阶段恢复计划，然后与本地客户沟通。Kaseya将公布这次攻击的概要以及我们为减轻攻击所做的工作。出于谨慎起见，一些很少使用的传统VSA功能将作为本版本的一部分被删除。发行说明中将列出该功能的具体列表及其对VSA功能的影响。将实施新的安全措施，包括通过FireEye增强对我们SaaS服务器的安全监控，并启用增强的WAF功能。我们已成功完成外部漏洞扫描，检查了SaaS数据库是否存在泄露迹象，并请外部安全专家审查我们的代码，以确保服务成功重启。

从欧盟开始的数据中心将恢复，然后是英国、亚太地区，然后是北美系统。

到7月5日深夜，Kaseya说，已经开发了一个补丁，该公司打算将VSA恢复为“阶段性功能”，以加快这一进程。该公司解释说：

第一个版本将阻止一小部分用户访问我们的功能，包括：Classic Ticketing Classic Remote Control（非LiveConnect）。用户门户网站Kaseya现在已经发布了一个更新的恢复时间表，从重新启动SaaS服务器开始，现在定在7月6日，美国东部时间下午4:00和7:00。随后将对配置进行更改，以提高安全性，包括一个内部补丁，预计将在24小时内从
2023-03-22 10:04:37