供应链网络攻击的最新案例:美国软件服务商Kaseya被勒索软件攻击,影响到了欧洲的企业

编者按

美国独立日小长假前,一家位于佛罗里达州IT设备管理软件公司遭遇到勒索软件攻击。此次攻击影响到数百家企业,甚至迅速扩散到了欧洲。从此次攻击事件中,我们可以看到软件供应链攻击所带来的巨大影响和危害。

攻击事件背景

上周五,一家位于迈阿密名为 Kaseya 的供应商遭遇到异常复杂的勒索软件攻击,导致数百家使用该公司研发的技术管理软件的企业业务受到严重影响。

攻击者劫持了一种名为VSA的Kaseya工具并推送恶意更新,该工具用于小型企业技术的公司管理IT设备。这些攻击利用了VSA软件的安全漏洞,例如没有双因素身份验证的常见密码。网络犯罪团伙替换了更新过程的升级文件并植入勒索病毒,这攻击流程表明勒索软件攻击的复杂程度显著升级。而且,该犯罪团伙还渗透到这家公司客户的内部系统并加密了部分系统文件。因此能造成大范围的破坏。

安全公司 Huntress 表示,它正在追踪8家被用来感染大约200名客户的托管服务提供商。Huntress 高级安全研究员约翰哈蒙德在一封电子邮件中说:“这是一次巨大而毁灭性的供应链攻击,”他指的是一种越来越引人注目的黑客技术,即劫持一个软件以一次危害成百上千的用户。Hammond 补充说,由于 Kaseya 已接入从大型企业到小型公司的领域,“它有可能扩展到任何规模或规模的企业。”安全专家表示,许多托管服务提供商使用VSA,尽管他们的客户可能没有意识到这一点。

据称犯罪团伙名为REvil,是一个位于俄罗斯的勒索软件团伙。该团伙据称和上个月美国肉类加工厂JBS的勒索软件攻击有关。此次攻击,该团伙索要的赎金从几千美元到 500多万美元。

Kaseya表示:Kaseya的产品有40,000名客户,但并非所有人都使用受影响的工具。只有大约40名客户受到直接影响。该公司表示:“我们鼓励所有可能受到影响的人采用推荐的缓解措施,并鼓励用户按照Kaseya的指导立即关闭VSA服务器。”

一些专家表示,袭击发生在美国长周末假期前的星期五,目的是在员工不在工作期间尽快传播。“我们现在看到的受害者可能只是冰山一角,”安全公司 CrowdStrike 的高级副总裁亚当迈耶斯说。

拜登总统周六表示,他已指示美国情报机构调查袭击的幕后黑手。

攻击影响扩大到欧洲

本次攻击事件号称历史上最大的勒索软件攻击之一。并且,此次攻击事件的影响继续在全球蔓延,迫使瑞典Coop杂货连锁店关闭其所有800家商店,因为它无法操作收银机。

Coop发言人Therese Knapp 告诉瑞典电视台:“我们整夜都在进行故障排除和恢复,但我们今天不得不关闭商店。”

瑞典通讯社TT称,瑞典公司Visma Esscom使用了Kaseya 技术,该公司为许多瑞典企业管理服务器和设备。

国家铁路服务和一家药房连锁店也受到了干扰。

“他们受到了不同程度的影响,”Visma Esscom 首席执行官 Fabian Mogren 告诉 TT。瑞典国防部长彼得·霍特奎斯特 (Peter Hultqvist) 告诉瑞典电视台,“这次攻击非常危险,企业和国家机构需要提高应对网络攻击的准备工作。在不同的地缘政治情况下,可能是以国家层面以这种方式攻击我们,以瘫痪社会并制造混乱,”

结语

由于攻击发生在美国独立日小长假前夕,很多专业人员都在度假,会减缓攻击事件的响应速度和力度,并且给犯罪团伙更多的赎金谈判的时间。可以看到此次攻击除了技术的复杂和精密,甚至连攻击的时间节点是经过精心策划的。此次攻击作为典型的供应链网络攻击事件,迅速影响到了欧洲的企业,供应链网络攻击的危害可见一斑。本次攻击后续有何影响,本号会继续关注。

文章来源:网络安全与网络战