Malw必威平台APParebytes威胁情报团队最近发现了一个恶意垃圾邮件,制作了圆形和银行强制kaseya关闭其VSA服务的赎金软件攻击。
这是由(潜在)另一个威胁演员/团队的攻击之后进行的机会主义攻击的经典示例。With Kaseya being a big name in the MSP world and the company attempting to take their VSA SaaS platform off the ground, post-attack, it’s the perfect time and opportunity to also capitalize on organizations who are eagerly waiting for the hotfix that REvil exploited in the first place so they can get back to business as quickly as possible.
Malwarebytes发现的必威平台APP电子邮件包含一个来自Microsoft的恶意链接和附件。该链接导致下载名为的文件ploder.exe.虽然附件命名SecurityUpdate.exe.。这两个都是c有效载荷。
电子邮件部分读取:
“伙计们请尽快安装来自Microsoft的更新以防止勒索软件。这是在Kaseya中修复漏洞。“
Malwarebytes的威胁情报团队还指出,托管有效载荷的位置必威平台APP是在推动的另一个MALSPAM活动中使用的相同的IP地址Dridex.,已知的信息偷窃师。过去,使用钴罢工,还观察到Dridex运动背后的威胁演员。
如果你可能会记得,c是一个合法的软件,将自己作为“对手仿真软件”。特别是赎金软件演员,据称是滥用合法的软件,并在他们的大型游戏狩猎(BGH)运动期间对目标组织进行整体恶意攻击。
如果您是Kaseya客户端,您可以在VSA事件上获得第一手更新这里。
不言而喻,受到Kaseya赎金软件攻击影响的任何公司都应该直接从供应商那里获得补丁。即使是来自受信任的同事,也应该疑问地发出的链接和/或附件,直到您已与您的供应商确认了修补程序和Where或如何获取它的供应商。意识到这不是第一次威胁机会主义者银行攻击,如凯萨斯经历的攻击。只要他们从中获得一些东西,机会主义者将在瞄准网络攻击受害者时显示毫不怜悯。
在这种情况下,通过使用钴攻击,这些威胁演员还打算进入您已经受损的系统,可能是为了进一步侦察或进行当地,跟进攻击。
注意安全!
评论