REvil 勒索软件:从一次重大供应链攻击中吸取的教训

安全资讯 小布 375浏览 0评论

最近最流行的勒索软件攻击之一涉及 REvil 勒索软件团伙利用 Kaseya VSA 中的安全漏洞发起历史上最大的勒索软件攻击之一。尽管这个计划非常巧妙,但很少有组织支付赎金来取回他们的文件。为什么历史上最大的勒索软件攻击之一的性能如此糟糕?

REvil 勒索软件攻击是如何发生的?

2021 年 7 月 2 日,REvil 对大约 1,500 家企业发起了大规模勒索软件攻击,并一举将它们全部加密。REvil 的攻击重点是 Kaseya VSA,这是一种远程管理解决方案,由托管服务提供商或 MSP 用于管理其客户的服务和支持。Kaseya 既可以部署为基于云的 SaaS,也可以通过内部部署服务器进行部署。REvil 专注于本地服务器,使用零日漏洞感染 60 个 MSP。Kaseya 在客户端系统上保留其管理员权限,这意味着一旦 MSP 被感染,他们的客户端系统就会被感染。

其结果是一场全球范围的勒索软件攻击,主要影响零售业和任何其他不幸依赖 MSP 使用 Kaseya VSA 来管理其客户端系统的部门。例如,Coop 是瑞典的一家零售/杂货连锁店,由于他们的销售点 (PoS) 设备使用了 Kaseya,因此不得不关闭 800 家商店,并且勒索软件使他们的 PoS 设备无法使用。这只是一个例子,但它显示了这种勒索软件攻击的影响范围。

这可能会让您认为这次勒索软件攻击是勒索软件攻击历史上代价最高的攻击之一,但并没有那么快。事实证明,尽管这种勒索软件攻击的范围很广,但只有两家公司向 REvil 勒索软件团伙支付了费用以加密他们的文件。这可能会引发很多问题,下面介绍的经验教训将有助于填补这个故事的空白,并向您展示为什么这次历史上广泛的攻击最终导致勒索软件组织失败。

REvil Kaseya 勒索软件攻击的要点

这种勒索软件攻击有一些经验教训可以让许多组织受益。它也可以作为一个很好的“教学时刻”,了解当你以错误的方式做事时会发生什么——勒索软件团伙和 Kaseya VSA 也是如此。以下是我们可以从中吸取的教训。

不要偏离久经考验的真理

从针对 Kaseya 客户端系统的 REvil 勒索软件攻击中学到的最引人注目的教训可能是他们偏离了久经考验的策略和程序。在这种情况下,其中最重要的是窃取数据和删除数据备份。通常,勒索软件攻击涉及证明目标组织的数据已被盗(并删除备份)。这是为了让组织有足够的动力支付赎金来访问恢复的数据。相反,REvil 勒索软件攻击并未窃取数据或删除目标客户端数据备份。

标准勒索软件攻击手册的其他变化是 REvil 无法不受限制地访问受害网络,而是依靠自动化来删除客户端备份。需要注意的是,此方法不起作用,并且没有删除备份。

这种对标准勒索软件攻击策略和程序的偏离是受影响组织的最大救星。两个组织确实支付了费用——其中一个受害者支付了 220,000 美元以返还他们的加密数据。然而,仅此而已。不遵循这一行之有效的勒索软件步骤意味着勒索软件组织对其受害者没有太多影响力。

听取漏洞报告

从技术上讲,Kaseya VSA 在这里并不干净,因为他们提前收到了 VSA 漏洞的通知,并且只采取了部分措施来修复它们。2021 年 4 月,荷兰漏洞披露研究所 (DIVID) 向 Kaseya 报告了七个漏洞。这些漏洞是:

  • CVE-2021-30116
  • CVE-2021-30117
  • CVE-2021-30118
  • CVE-2021-30119
  • CVE-2021-30120
  • CVE-2021-30121
  • CVE-2021-30201

Kasey 的回应需要修补他们的 VSA SaaS,而不是他们的内部部署服务器版本。虽然研究人员无法 100% 确定地确定,但相信使用了 CVE-2021-30116、“”30119 和“”30120 的组合。

不要忽视你的备份

调查 REvil 勒索软件攻击的研究人员指出,支付赎金的组织一开始就缺乏备份。它可能有点像“信息安全 101”。不过,应该强调的是,制定强大的数据备份计划将有助于避免您的组织在类似攻击后不得不支付赎金。请记住,REvil 实际上并未删除任何备份,因此受影响的组织只需从最新备份中恢复即可恢复绝大多数数据。

从 REvil 勒索软件攻击中吸取的教训

针对 Kaseya VSA 客户端系统的 REvil 勒索软件攻击史无前例,影响了 60 个 MSP 和 15,000 个客户端组织。尽管规模如此之大,但只有两个组织支付了 REvil 要求的赎金。这个案例应该作为一个可教的时刻,让你了解当你忽略基础知识时会发生什么。

转载请注明:布尔云安的博客 » REvil 勒索软件:从一次重大供应链攻击中吸取的教训

头像
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址