作者 | Carol

出品 | CSDN（ID：CSDNnews）

上周五，美國軟件開發商 Kaseya Ltd. 遭遇了勒索軟件 REvil 的攻擊，攻擊主要集中在 Kaseya VSA 軟件上，這次攻擊影響了多個托管服務提供商及其一千多名客戶。

Kaseya 是一家來自瑞典的 IT 公司，于1999年獲得了美國專利局認證的 Kaseya VSA（虛拟系統管理）專利和連接算法專利。Kaseya VSA 是一個基于雲的 MSP 平台，允許提供商為其客戶執行補丁管理和客戶端監控，該平台為客戶提供了一套基于 Web 的新一代自動化 IT 系統管理解決方案。MSP 是一種通過建立自己的網絡運作中心(NOC，Network Operating Center)來為企業提供24×7×365的系統管理服務的業務。MSP 可以實現遠程的管理、實時的監控和對企業系統運作情況的統計。

為了獲得更好的服務，在對 MSP 進行選擇時，企業一般會選擇有強大的市場占有率的産品品牌。Kaseya 就是這樣一個品牌，至今，Kaseya 在全球已經擁有了超過10000家客戶，其中包括50%以上的全球100強 IT 管理服務提供商及各大龍頭企業，分别來自銀行業、金融業、零售業、貿易業、教育機構、政府機構、醫療機構和交通運輸業等領域。截止2011年底，全球有超過1300萬台以上的終端和設備通過 Kaseya 的軟件進行管理。

正是因為很多大型企業和技術服務供應商都選擇使用 Kaseya VSA，Kaseya 才被選中成為此次供應鍊攻擊的對象。

供應鍊攻擊是一種面向軟件開發人員和供應商的攻擊方式。攻擊者通過在應用中尋找不安全的網絡協議、未受保護的服務器基礎結構和不安全的編碼做法，來感染合法應用，分發惡意軟件。

一般來說，軟件由受信任的供應商構建和發布, 因此這些應用和更新版本已被簽名并經過相關安全認證。在軟件供應鍊攻擊中, 供應商可能未意識到他們的應用或更新在發布到公衆時已經受到惡意代碼的感染，因此一旦供應鍊攻擊成功，惡意代碼将以與應用相同的信任和權限運行。

MSP 對于勒索軟件團夥來說是一個高價值的目标，它們提供了一種通過單一漏洞感染許多公司的簡單渠道，但發起攻擊需要黑客對 MSP 及其使用的軟件有深入了解。

REvil 就是個中好手。REvil 擁有一個精通 MSP 使用的技術的分支機構，長期以來一直針對這些公司及其常用軟件進行研究。與其他勒索軟件一樣，REvil 的勒索軟件會鎖住受害者的電腦，直到受害者以比特币的形式支付數字贖金。

REvil 勒索軟件示例

REvil 不僅精心挑選了他們的獵物，為保萬無一失，他們甚至精心挑選了攻擊時間。通常來說，多數大規模勒索軟件攻擊都是在周末的深夜進行，因為此時監控網絡的人員較少。REvil 卻選擇在周五中午發起攻擊，在即将到來的周末之前，員工的工作時間可能縮短且效率不高。

REvil 精心策劃的攻擊實施得相當順利。周五，Kaseya 收到了客戶的報告，報告顯示 Kaseya VSA 本地産品管理的端點出現了異常行為，不久後，Kaseya 進一步發現勒索軟件正在端點上執行。基于用戶的報告， Kaseya 的執行團隊迅速召開了會議并決定采取兩個步驟來阻止惡意軟件的傳播：向本地客戶發送通知，要求用戶關閉他們的 VSA 服務器以及關閉 Kaseya 的 VSA SaaS 基礎設施。

通過調查，Kaseya 的安全團隊發現勒索軟件使用了 Kaseya VSA 中的一個漏洞，并宣布将盡快發布補丁。據稱，此次網絡攻擊是 REvil 有史以來發起的規模最大的一次攻擊，已有八個已知的大型 MSP 受到攻擊，并且可能已導緻全球多達 4 萬台電腦被感染。

根據暗網博客上發布的信息，REvil 勒索軟件團夥聲稱已經鎖定了超過 100 萬個系統。

博客信息

翻譯内容如下：上周五（02.07.2021）我們對 MSP 供應商發起了一次攻擊。超過 100 萬的系統被感染。如果有人想就通用解密器進行談判--我們的價格是 70000000 美元（BTC），我們将公開發布解密器，解密所有受害者的文件，所以每個人都将能夠在不到一個小時内從攻擊中恢複。如果你對這樣的交易感興趣，請按照受害者的 "readme"文件說明與我們聯系。

至今，Kaseya 并未表明是否會考慮支付贖金。官方發布的信息表示，越來越多的 MSP、經銷商及其客戶受到了此次攻擊事件的影響，Kaseya 聲明将繼續展開調查、公布信息，盡力降低客戶的損失。

Kaseya 官方說明

慣犯 REvil ，作案太頻繁

7000萬美元聽上去是一個天文數字，但是這不是 REvil 第一次獅子大開口了。2020 年 5 月，REvil 聲稱破譯了唐納德·特朗普公司用于保護其數據的橢圓曲線密碼術，并為他們盜竊的數據索要4200萬美元的贖金。

最開始，REvil 因從服務于全球影視娛樂巨星的律師事務所—— Grubman Shire Meiselas & Sacks 竊取了近 1 TB的信息并勒索贖金而聞名，從此以後 REvil 就與LadyGaga、埃爾頓·約翰、羅伯特·德尼羅和麥當娜等知名巨星的名字緊緊聯系在一起。

打出名号之後，作為黑客界的“明星”，REvil 的犯案頻率簡直可以評為勞模，僅2021年就憑借其每月至少一起的作案頻率頻頻占據頭版頭條。

• 3 月 18 日，REvil 附屬公司在網絡上聲稱，他們已從跨國硬件和電子公司宏碁安裝勒索軟件并盜取大量數據，并為此索取5000萬美元的贖金。

• 3 月 27 日，REvil 攻擊哈裡斯聯盟，并在其博客上發布了聯盟的多份财務文件。

• 4 月，REvil 竊取了廣達電腦即将推出的蘋果産品的計劃，并威脅要公開發布這些計劃，除非他們收到 5000 萬美元作為贖金。

• 5 月 30 日，全球最大肉類供應商 JBS 受到 REvil 勒索軟件的攻擊，該公司不得不将所有美國牛肉工廠暫時關閉，并中斷了家禽和豬肉工廠的運營。最終，JBS 還是向 REvil支付了 1100 萬美元的比特币贖金。

• 6 月 11 日，全球再生能源巨擘 Invenergy 證實其作業系統遭到了勒索軟件的攻擊，REvil聲稱對此事負責。

7月僅僅過去兩天，REvil 就按捺不住對 Kaseya 出手了。

為何受害企業卻隻能打碎牙往肚裡咽？

除了組織本身以外，REvil 還招募了很多附屬機構為他們分發勒索軟件，這些附屬機構和勒索軟件開發商都将從支付贖金産生的收入中獲利，也代表着最終贖金會有多個去向，因此 REvil 團夥确切位置難以确定。

對于該組織，各國政府也深惡痛絕，多次下令進行嚴厲打擊。不幸的是，之前的事件基本是以 REvil 勒索成功告終，這次的 Kaseya 事件又會怎樣結束呢？