7月2日,IT管理软件制造商Kaseya通知客户,它已对针对其VSA产品客户的攻击展开调查。攻击者利用零日漏洞——以及合法的VSA功能——向MSP及其客户发送REvil勒索软件。此次攻击似乎影响了数十名Kaseya客户和数百家下游企业。发起这次攻击的网络犯罪集团使用勒索软件加密被破坏系统上的文件,他们希望由此获得数千万美元的收益。
好消息是,它并不像我们最初担心的那样具有破坏性。由于REvil远程执行攻击,他们从未访问过受害者的网络,因此无法删除备份或窃取数据。
坏消息是,就在攻击开始时,Kaseya正在为零日漏洞开发补丁,这次攻击差点就被阻止了。由于美国利益不断受到勒索软件的攻击,拜登总统曾警告普京总统,俄罗斯需要逮捕在俄罗斯运作的勒索软件团伙,否则美国将采取行动。9日,拜登总统致电普京总统,要求对相关勒索团伙实施打击。
在5月份针对国际肉类供应商JBS的另一起入侵事件之后,这个勒索软件组织已经成为美国情报机构的目标。一些专家推测,发生在7月4日美国国庆日之前的Kaseya袭击事件可能被解读为对美国政府加强审查的回应。根据威胁情报公司Recorded Future的数据,该组织占已知勒索软件受害者的42%。该组织将其勒索软件代码作为一项服务提供给附属组织,进一步扩大了其在网络犯罪领域的影响力。
勒索软件已成为拜登政府面临的一个紧迫的国家安全问题。
2021年7月4日
Kaseya正在修补零日漏洞的时候REvil勒索软件发动了攻击
用来破坏内部Kaseya VSA服务器的零日漏洞正在修复中,几乎就在同时REvil勒索软件团伙利用它在7月2日进行大规模攻击。
REvil正在增加勒索软件攻击受害者的赎金
在7月2日的Kaseya勒索软件攻击中,REvil勒索软件团伙增加了对数据加密受害者的赎金要求。
新AvosLocker RaaS出现
Toffee在黑客论坛上看到了一个名为AvosLocker的新RaaS。将.avos扩展名附加到加密的文件中,并留下了GET_YOUR_FILES_BACK.txt勒索便条。
2021年7月5日
REvil勒索组织要求7000万美元解密所有Kaseya攻击的受害者
REvil勒索软件为破解Kaseya供应链攻击期间锁定的所有系统设定了赎金数额。该团伙想要7000万美元的比特币来购买解密密钥,可以让所有受影响的企业恢复他们的文件。
CISA和FBI发布对Kaseya勒索软件攻击受害者的指导
CISA和联邦调查局(FBI)已经分享了受REvil供应链勒索软件攻击影响的管理服务提供商(MSPs)及其客户的指导意见,勒索组织攻击了Kaseya基于云的MSP平台的系统。
新的STOP Djvu勒索软件变种出现
PCrisk发现新的STOP勒索软件变体,被加密文件的扩展名为.zqqw和.pooe。
2021年7月6日
美国警告称,如果俄罗斯拒绝,将对勒索软件团伙采取行动
白宫新闻秘书珍·帕莎(Jen Psaki )表示,如果俄罗斯政府拒绝采取行动,美国将对来自俄罗斯的网络犯罪组织采取行动。
Kaseya:大约有1500家企业受到了REvil勒索软件的攻击
Kaseya表示,REvil供应链勒索软件攻击破坏了使用该公司VSA现场产品的约60名直接客户的系统。
瑞典超市因Kaseya网络攻击关闭
在受到针对美国公司Kaseya的网络攻击三天后,瑞典主要的800家连锁超市中的大多数仍处于关闭状态。Coop的新闻发言人凯文·贝尔(Kevin Bell)强调,形势看起来“比几天前还乐观”,他告诉法新社,“大多数”门店仍然关闭。
2021年勒索软件统计:第二季度报告
2021年第二季度是迄今为止对美国基础设施勒索软件攻击最厉害的阶段。5月7日,美国最大的成品油管道系统运营商Colonial输油公司感染了“DarkSide”勒索软件。攻击导致公司停业六天,直到Colonial管道公司支付了440万美元的赎金才得以解决。该公司首席执行官约瑟夫·布朗特称这一决定是“为我们的国家做的正确的事情”。
2021年7月7日
出现用Cobalt Strike伪造Kaseya VSA安全更新的攻击行动
威胁行为者正试图利用正在进行的Kaseya勒索软件攻击危机,通过垃圾邮件活动将潜在受害者作为目标,投递伪装成Kaseya VSA安全更新的Cobalt Strike有效攻击载荷。
新的STOP Djvu勒索软件变种
PCrisk发现了一个新的STOP勒索软件变种,以.zzla为扩展名。
2021年7月8日
Conti解包|了解勒索软件开发作为检测响应
“勒索软件即服务”(Ransomware as a Service)的变种Conti问世还不到两年,已经进行了第七次迭代,事实证明它是一种敏捷而娴熟的恶意软件威胁,能够自主和引导操作,并具有无与伦比的加密速度。截至2021年6月,Conti独特的功能已经帮助其子公司从400多个组织勒索了数百万美元。
供应商Accellion黑客入侵后摩根斯坦利报告数据泄露事件
投资银行公司摩根士丹利(Morgan Stanley)报告称,黑客入侵第三方供应商Accellion FTA服务器,窃取了其客户的个人信息。
“勉强跟上”:美国的网络战士因受到攻击而分散
查尔斯·卡马卡尔(Charles Carmakal)面临着一个问题:勒索软件变得如此猖獗,以至于他的业务太多了。
有缺陷的Kaseya遭到勒索软件攻击后,REvil受害者拒绝支付赎金
REvil勒索软件团伙对MSPs及其客户的攻击从表面上看应该是成功的,但他们在典型策略和程序上的改变却导致很少支付赎金。
新的跟踪勒索攻击的网站推出
杰克·凯布尔(Jack Cable )推出了一个名为Ransomwarewhere的勒索支付追踪网站。
新ransomware狩猎
迈克尔·吉莱斯皮正在寻找一个新的勒索软件,扩展名为.nohope,赎金纸条名为NOHOPE_README.txt。
2021年7月9日
Kaseya警告推送虚假安全更新的网络钓鱼活动
Kaseya警告客户说,假借合法的VSA安全更新的恶意附件和嵌入链接邮件来企图攻破他们的网络,这也正是利用此次勒索热点事件进行的网络钓鱼活动。
保险巨头CNA报告在勒索软件攻击后发生数据泄露
美国领先的保险公司CNA Financial Corporation通知客户,其系统在3月份遭到Phoenix CryptoLocker勒索软件攻击后出现数据泄露。
Kaseya公司再次推迟黑客攻击后重启
遭受勒索软件攻击,导致世界各地的公司将重启服务器的时间推迟,以加强抵御进一步入侵的防御。Kaseya首席执行长佛瑞德·Voccola当地时间7日晚间在网上发布了一段更新视频,向客户道歉,称不重启系统的决定是他职业生涯中最艰难的决定。
拜登再次敦促普京打击在俄罗斯境内活动的勒索软件团伙
白宫发表声明说,美国总统拜登7月9日与俄罗斯总统普京通电话,敦促他打击在俄罗斯境内活动的勒索软件组织。“我对他说得很清楚,美国预计,当勒索软件是来自他的土壤地,即使它不是由国家赞助,我们期望[俄罗斯]采取行动,如果我们给他们足够的信息来采取行动”拜登电话后告诉记者。
本文来源 网空闲话
系列回顾
⊙秦安:美国不支持“台独”,是三大战略方向失败后,布局中国的重要信号
⊙“滴滴企业版”等25款App被下架
⊙国家互联网办公室关于《网络安全审查办法(修订草案征求意见稿)》公开征求意见通知
——END——
来源:秦安战略
声明:本站部分文章及图片转载于互联网,内容版权归原作者所有,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!