更新：Kaseya劫持，千乘遭到瑞士袭击，修复了再次延迟

必威平台APPMalwarebytes不使用Kaseya产品。必威平台APPMalwarebytes检测到此攻击中使用的Revil Ransomware仙妮策。

最新更新

• 7月7日，上午8:30，KaseyaVSA SaaS平台仍在脱机，没有按计划更新
• 7月6日，下午3:40，马尔帕姆使用假kaseya安全更新
• 7月6日，上午3:15，Malwa必威平台APPrebytes etemetry揭示了全球规模攻击
• 7月6日，上午2:45，赎金需求下降至5000万美元，瑞士品牌“恐怖分子”
• 7月5日，上午5:00，Kaseya缺陷的一部分管理工具中的结构弱点
• 7月5日，上午4:30，凯萨尼发布妥协检测工具
• 7月4日，晚上8:50，Revil要求7000万美元
• 7月4日，下午4:00，Malwa必威平台APPrebytes遥测节目罗维尔检测中的激增
• 7月4日，5:00，“数千人受影响“，零天归咎于
• 7月3日，两个MSP命名，数以百计的Coop商店关闭
• 7月2日，关闭Kaseya VSA.立即
• IOC.

立即关闭Kaseya VSA

据报道，现在对流行的远程监控和管理软件工具进行严重的赎金软件攻击Kaseya VSA已强迫Kaseya提供紧急建议：立即关闭VSA服务器。

“我们正在对VSA遇到潜在的攻击，这些VSA被限制为小型
仅在今天的2:00截至200点之前的内部内部客户数量，“Kaseya在星期五下午写道。

“我们正在调查事件的根本原因，谨慎，但我们建议您立即关闭VSA服务器，直到您收到我们的进一步通知。

你立即这样做是至关重要的，因为攻击者所做的第一件事之一是关闭管理访问VSA。“

据报道，该攻击通过Kaseya VSA自动更新提供，使恶意将Revil RansomWare推向受害者的机器。Kaseya是一款适用于管理服务提供商开发的流行软件，该提供商为小于中小型企业提供远程IT支持和网络安全服务，这是由于其规模或预算有限而雇用全职IT员工。

复杂的攻击是这样的事实，根据网络安全研究员Kevin Beaumont，恶意更新携带客户的管理员权限，“这意味着被感染的托管服务提供者感染他们的客户的系统。”

对于一家表示拥有40,000名客户的公司来说，这可能是一场灾难。

在攻击过程中，据报道，网络犯罪分子关闭了对VSA的管理访问权限，并且禁用了Microsoft Defender中的几种保护，包括实时监控，脚本扫描和受控文件夹访问。

MalwareBytes的屏幕截图显必威平台APP示汇票票据送到受感染的Windows机器。在注释中，攻击者警告说：

“| --- ===欢迎。再次。=== ---

[ - ]发生什么事？[]

您的文件已加密，当前不可用。您可以查看它：系统上的所有文件都有扩展7pc78r01。顺便说一下，一切都可以恢复（恢复），但您需要遵循我们的说明。否则，您无法返回您的数据（从不）。“

必威平台APPMalwarebytes客户目前受到升值的保护，如下屏幕截图所示，Malwarebytes致力于继续这种保护。（必威平台APPMalwarebytes检测到Revila As仙妮策）

我们将以更多信息更新此帖子，只要它可用，而且Kaseya的直接指导不能夸大：立即关闭VSA服务器。

更新7月3日，2021年7月3日

Kaseya发布了一个新的陈述确认他们是一个复杂的网络攻击的受害者。此时，他们仍在敦促客户脱机将其上提VSA服务器保持。

根据彭博的说法受影响的托管服务提供商（MSP）中的两个是Synnex Corp.和Avtex LLC。虽然Kaseya是一家以美国为基础的公司，但其中一些MSPS客户是欧洲的业务。根据BBC，瑞典超市连锁店在销售点终端和结账停止工作后，周五必须关闭400多家商店。

此攻击的受害者将下载了一个名为“kaseya VSA代理修补程序”的恶意更新，实际上意味着禁用Windows Defender并推送文件加密器有效载荷。

更新7月4日，2021年7月4日，上午5:00，PT

越来越大的攻击范围的更多细节。Huntress一直在保持全面的红线线程自周五以来的事件。在一个随附的博客文章中，该组织表示，它在四大洲进行了大约30个MSP“，Kaseya VSA用于加密超过1000个企业”。

其中一个受影响的组织是圣彼得的学校，新西兰剑桥，拥有确认这是其中之一十一学校在受此供应链攻击影响的国家。

安全公司Huntresslabs有分析原始攻击载体并相信Revil / SodInokibi Affiliate在Kaseya的Web界面中开发了零一天进行身份验证旁路。

如今，荷兰漏洞泄露泄露（DIVD研究所的Victor Gevers在Twitter上透露，它在攻击时与Kaseya的“协调脆弱性披露过程”。

从技术上讲，这是一个零点。在发生这种情况时，我们在与供应商的协调漏洞披露过程中。CVES已准备好发表;制作并为分发做好了修补程序，我们映射了所有在线实例以帮助加快过程。

- Victor Gevers（@ 0xdude）7月3日，2021年

换句话说，Kaseya意识到了一个问题，它正在积极努力解决它。根据GEVERS的说法，这解释了为什么VSA的内部部署版本很脆弱，SaaS版本不是。似乎是，明智地，萨斯版本的VSA版本在内部部署版本之前接收了修补程序。

似乎袭击是非常好的时间。如果这个过程稍微搬到了一点，Infosec人们现在将享受周末，我们会写出可能是什么，而是谈论GEVERS描述为“历史上单一最大的勒索狂欢”。

鉴于2021展开的方式，我们无法帮助想知道它将保留多长时间。

更新：7月4日，下午4:00，PT

必威平台APPMalwarebytes的遥测显示出一个重大增加ransom.sodinokibi.（REVIL）检测而不是在美国。事实上，我们在印度，法国，智利，台湾，澳大利亚，哥伦比亚和阿根廷有很多命中。

更新：7月4日，晚上8:50，PT

Revil Gang已声称对MSP的攻击，并要求7000万美元以换取通用解密器。在他们在黑暗网上托管的“快乐博客”的新帖子中，他们说有超过一百万的系统被感染了。他们还提到通用解密器将有助于在不到一小时内从攻击中恢复过来。这两项索赔都具有高度争议性。

更新：7月5日，上午4:30，PT

Kaseya创造了一个妥协检测工具可以从公司的框帐户下载。该工具将扫描VSA服务器或托管端点，并确定是否存在任何妥协指标（IOC）。然而，Kaseya表示其客户应该现在让VSA关闭：

所有本地VSA服务器都应继续脱机，直到Kaseya的进一步说明何时可以安全地恢复操作。在重新启动VSA和关于如何提高安全姿势的一组建议之前，将需要安装补丁。

CADO安全创建了一个GitHub存储库DFIR专业人士的工具谁从袭击中处理了堕落。

更新：7月5日，4:45 AM，PT

DIVD揭示了Kaseya的关闭VSA服务器的指示，以及随后的组织努力，他们这样的组织就会大大减少了数量可从互联网到达的Kaseya VSA实例从48小时内从“超过2,200到140英寸”。

该组织还阐明了事件的根本原因，说“Divd研究人员，先前已经确定了许多零天漏洞[CVE-2021-30116]目前正在赎制软件攻击中使用。“正如我们在早期的更新中解释的那样，DIVD正在与Kaseya合作，在Revil击中时解决漏洞。“不幸的是，我们在最终冲刺中被黎面升级殴打。”

毫不否地解释说，这是看用于系统管理的工具的管理界面的更广泛努力的一部分，称：“我们发现了一个越来越多的产品用于保证网络安全和安全的产品显示结构弱点。“

更新：7月6日，2:45 AM，PT

路透社举报攻击背后的速度“已表示愿意在与网络安全专家和路透社的私人谈话中锻炼他们的需求。”根据新闻组织的说法，攻击者告诉克雷斯斯斯塔莫斯集团的杰克电缆，准备将普通解密器的要求降低7000万美元至5000万美元。通用解密器可用于释放所有受害者 - 所有担任Kaseya客户的客户 - 并拯救攻击者的烦恼与各自谈判每次最多1,500名受害者。

兰森瓶帮派通常一次与一个或少数受害者协商。在此攻击背后的速度可以简单地与许多受害者沟通。他们也可能谨在比特币区块链中创造数千个单独的“纸张迹线”，因为加密货币支付是最近执法努力似乎专注的地方。大约一个月前，Dojbetway必威手机用户端在殖民地管道攻击中支付。一周后，警察在乌克兰逮捕了几个人被认为是为CL0P赎金软件集团提供洗钱。

现在的问题，是Kaseya是否会支付。路透社举报that in an interview with Kaseya CEO Fred Voccola, he responded to a question about whether the company would pay by saying “I can’t comment ‘yes,’ ‘no,’ or ‘maybe’ … No comment on anything to do with negotiating with terrorists in any way.”

更新：7月6日，上午3:15，PT

必威平台APPMalwarebytes威胁情报有发布了一种形象显示活动的全球范围。来自Malwarebytes的必威平台APP遥测揭示了星期五袭击后四大大陆的Revil的检测。

更新：7月6日，下午3:40，PT

必威平台APPMalwarebytes威胁情报已经看到了一种试图利用Kaseya VSA攻击的恶意垃圾邮件。该电子邮件将收件人询问“请从Microsoft安装更新以防止赎金软件”，并且携带一个名为附件SecurityUpdates.exe.。

A.#malspam.广告系列正在利用Kaseya VSA#ransomware.攻击下降#cobaltstrike.。
它包含一个名为“securityupdates.exe”的附件，以及假装从Microsoft到Patch Kaseya漏洞的安全更新的链接！pic.twitter.com/0niaox786i.

- 必威平台APP Malwarebytes威胁情报（@MBThreatIntel）7月6日，2021年

更新：7月7日，上午8:30，PT

Kaseya更新了它的事件页面为了解释其对Kaseya VSA SaaS平台的计划更新，由于未指明的问题仍未发生。

...在部署VSA更新期间，发现已阻止发布的问题。我们还没有能够解决这个问题

SaaS平台的持续不可用是一个谜。Kaseya维护，与其VSA产品的本地版本不同，SaaS平台并不容易受到用于推出周五攻击的零期问题。但是，SaaS平台被离线作为预防措施，并将保持其直到可以更新。

妥协指标（IOC）

装载机

DF2D6EF0450660AAAE62C429610B964949812DF2DA1C57646FC29AA51C3F031E
DC6B0E8C1E9C113F0364E1C8370060DEE3FCBE25B667DDECA7623A95CD21411f
D55F983C994CAAA160C63A59F6B4250FE67FB3E8C43A388AEC60A4A6978E9F1E
AAE6E388E774180BC3EB96DAD5D5BFEFD63D0EB7124D68B6991701936801F1C7
66490C59CB9630B53FA3FA7125B5C9511AFDE38EDAB4459065938C1974229CA8
81D0C71F8B282076CD93FB6BB5BFD3932422D033109E2C92572FC49E4ABC2471
1FE9B489C25BB23B04D9996E8107671EDEE69BD6F6DEF2FE7ECE38A0FB35F98E

Revil / SodInoki DLL

D8353CFC5E696D3AE402C7C70565C1E7F31E49BCF74A6E12E5AB044F306B4B20
D5CE6F36A06B0DC8CE8E7E2C9A53E66094C2ADFC93CFAC61DD09EFE9AC45A75F
CC0CDC6A3D843E22C98170713ABF1D6AE06E8B5E34ED06AC3159ADAFE85E3BD6
0496CA57E387B10DFDAC809DE8A4E039F68E8D66535D5D19C76D39F7D0A4402
8E846ED965BBC0270A6F58C5818E039F2FB78DEF4D2BF82348CA786A0CEA4F
8DD620D9AB35960BB766458C8890EDE987C33D239CF730F93FE49D90AE759DD

文件路径

C：\ kWorking \ Agent.exe
C：\ Windows \ MPSVC.dll

来自配置文件的其他IOC（来源）

进程列表杀人

ENCSVC
PowerPnt.
OCSSD.
蒸汽
Isqlplussvc.
前景
SQL.
OCOMM
Agntsvc.
Mspub.
oneNote.
Winword.
thebat.
excel.
mydesktopqos.
OCAUTOUPDS
雷鸟
句子
InfoPath.
mydesktopservice.
Firefox.
甲骨文
sqbcoreservice.
dbeng50
TBIRDCONFIG.
msaccess.
visio.
dbsnmp.
WordPad.
XFSSVCCON.

停止和删除的服务

Veeam Memtas SQL Backup VSS Sophos SVC $ Mepocs