惡意行為者使用 Kaseya 更新傳送 REvil 勒索軟件����,利用 Kaseya 的管理權(quán)限感染其他系統(tǒng)�。 一旦 MSP 被感染��,勒索軟件就可用于攻擊他們提供遠(yuǎn)程 IT 訪問的所有客戶端。
Kaseya 遠(yuǎn)程監(jiān)控遭到另一次網(wǎng)絡(luò)攻擊
7 月初��,全球數(shù)百家企業(yè)受到供應(yīng)鏈勒索軟件攻擊的影響�����,黑客利用了名為 Kaseya VSA 的遠(yuǎn)程管理工具中的漏洞����。
黑客通過 Kaseya 部署了 REvil 勒索軟件,這影響了許多托管服務(wù)提供商 (MSP)��。 從那里�����,攻擊者與這些 MSP 的許多客戶取得了聯(lián)系�。 Kaseya 能夠關(guān)閉其基于云的服務(wù)���,并敦促所有本地用戶關(guān)閉易受攻擊的服務(wù)器,直到可以發(fā)布補(bǔ)丁�,但已經(jīng)有 1,000 多家企業(yè)受到攻擊。
在接下來的幾周里��,專家們能夠弄清楚攻擊是如何進(jìn)行的�。 惡意行為者使用 Kaseya 更新傳送 REvil 勒索軟件,利用 Kaseya 的管理權(quán)限感染其他系統(tǒng)��。 一旦 MSP 被感染���,勒索軟件就可用于攻擊他們提供遠(yuǎn)程 IT 訪問的所有客戶端��。
利用零日漏洞
據(jù)研究人員稱���,勒索軟件是通過使用 Kaseya VSA 的自動(dòng)化、虛假和惡意軟件更新推送的���,稱為“Kaseya VSA 代理修補(bǔ)程序”��。 攻擊者隨后立即禁止合法管理員訪問該軟件,以防止攻擊被阻止���。
由于 Kaseya 文檔建議客戶從防病毒掃描中排除安裝 VSA 代理的文件夾��,因此這是一個(gè)特別容易受到攻擊的攻擊點(diǎn)�����。
多年來����,Kaseya 的員工報(bào)告稱,在多次警告安全漏洞后被解雇或辭職����。
關(guān)于Kaseya
Kaseya VSA 是一種 IT 遠(yuǎn)程監(jiān)控和管理解決方案,IT 和網(wǎng)絡(luò)管理員使用它來自動(dòng)修補(bǔ)端點(diǎn)和服務(wù)器��、管理備份和防病毒部署���、自動(dòng)化 IT 流程以及遠(yuǎn)程解決和排除 IT 問題��。
為了執(zhí)行所有這些任務(wù)�����,Kaseya VSA 軟件以管理員級別的訪問權(quán)限運(yùn)行����。據(jù)網(wǎng)絡(luò)安全公司 Huntress 稱,Kaseya 對客戶設(shè)備高度信任���,這可能是該公司首先成為攻擊目標(biāo)的原因�。這至少是 Kaseya 軟件第三次被用作攻擊媒介����。 2019 年 2 月,黑客利用 Kaseya VSA 插件漏洞利用勒索軟件瞄準(zhǔn) MSP�。幾個(gè)月后,也就是 2019 年 6 月��,攻擊者再次利用 Kaseya 軟件來攻擊 MSP�。
最新的 Kaseya 勒索軟件攻擊的影響
最初的獨(dú)立調(diào)查得出結(jié)論,六個(gè) MSP 受到影響����。然而,進(jìn)一步的調(diào)查顯示��,大約有 40 個(gè) MSP 遭到了入侵�。 Kaseya 代表表示����,全球有超過 36000 名用戶受到影響��。大多數(shù)受影響的組織都在使用 Kaseya VSA 的內(nèi)部部署方法��,幾乎??沒有證據(jù)表明 SaaS 客戶受到損害�����。
由于攻擊者聲稱已經(jīng)破壞了超過 100 萬個(gè)系統(tǒng)�����,因此贖金金額上升至 7000 萬美元���。
瑞典連鎖超市 Coop 不得不暫時(shí)關(guān)閉 800 家門店,因?yàn)樗麄儫o法打開收銀機(jī)��。
誰是襲擊者�?
據(jù) CSO 稱,REvil 是一種“贖金即服務(wù)”威脅��,首次出現(xiàn)于 2019 年��。它依靠附屬機(jī)構(gòu)分發(fā)惡意軟件以換取一部分贖金。 REvil 勒索軟件組織此前曾與俄羅斯有關(guān)聯(lián)��,并且已經(jīng)對宏碁和肉類供應(yīng)商 JBS 等公司進(jìn)行了攻擊��。
在過去的一年里�,REvil 一直是感染企業(yè)網(wǎng)絡(luò)的最常見的手動(dòng)操作勒索軟件之一。初始攻擊向量以及攻擊者在網(wǎng)絡(luò)內(nèi)采取的行動(dòng)通常會有所不同�����。
安全遠(yuǎn)程訪問如何幫助降低風(fēng)險(xiǎn)并減少攻擊面
遠(yuǎn)程訪問是銷售點(diǎn)設(shè)備和企業(yè)網(wǎng)絡(luò)最常見的攻擊方法之一�����。但是遠(yuǎn)程訪問不再是完全可選的���。零售商和其他組織維護(hù)復(fù)雜的設(shè)備網(wǎng)絡(luò)��、POS 系統(tǒng)和其他類型的技術(shù)�����,這些網(wǎng)絡(luò)需要廣泛的網(wǎng)絡(luò)攻擊保護(hù)���,同時(shí)提供保持業(yè)務(wù)發(fā)展的效率��。
Netop 通過超越 PCI DSS��、GDRP�����、HIPAA 和其他框架規(guī)定的安全性和合規(guī)性來幫助降低這些風(fēng)險(xiǎn)。 Netop Remote Control 專為支持 MSP 端點(diǎn)保護(hù)策略而構(gòu)建���,同時(shí)提供新的安全通信途徑����。
我們提供多層安全保護(hù)���,以確保僅向您批準(zhǔn)的個(gè)人和設(shè)備授予遠(yuǎn)程訪問權(quán)限�����。 Netop 遠(yuǎn)程控制通過基于角色的集中訪問系統(tǒng)為遠(yuǎn)程訪問會話提供精細(xì)的身份和特權(quán)訪問管理選項(xiàng)���。
如何防止數(shù)據(jù)泄露的技術(shù)方面始于身份驗(yàn)證和加密。 Netop Remote Control 提供您組織所需的身份驗(yàn)證服務(wù)�,并提供本地多因素身份驗(yàn)證和/或與各種身份驗(yàn)證技術(shù)和提供商集成的選項(xiàng)�����。此外�,強(qiáng)加密是構(gòu)建 Netop Remote Control 的基礎(chǔ)之一���。我們提供多種加密選項(xiàng)���,因此組織可以為其特定用例選擇正確的加密級別。
最后但并非最不重要的一點(diǎn)是�����,您應(yīng)該就防止數(shù)據(jù)泄露的最佳實(shí)踐對您的全體員工進(jìn)行培訓(xùn)�。正如您為員工和供應(yīng)商提供最低權(quán)限以保護(hù)他們一樣,您還應(yīng)該為他們提供豐富的資源來打擊網(wǎng)絡(luò)釣魚詐騙和其他社會工程企圖��。端點(diǎn)可能被監(jiān)控�,通道可能被加密,但只有適當(dāng)?shù)呐嘤?xùn)才能防止員工點(diǎn)擊惡意鏈接或在不知情的情況下泄露敏感信息����。
安全的遠(yuǎn)程訪問不再是奢侈品,它對 MSP 至關(guān)重要�。 Netop Remote Control 可以幫助您的公司從任何位置安全地訪問網(wǎng)絡(luò)和設(shè)備��,同時(shí)最大限度地減少安全威脅�。今天就聯(lián)系我們進(jìn)行試用����。
