美国东部时间周五下午2点左右Kaseya被攻击，年7月3日晚上7:30和晚上9:00又连续被攻击、7月4日上午10:00Kaseya再次发出警告，Kaseya被攻击。这次攻击针对的是Kaseya的本地VSA产品。

目前Kaseya强烈建议本地客户的VSA服务器保持离线状态，直至另行通知。

此次攻击中，攻击者利用漏洞发送恶意KaseyaVSA软件更新，该更新被打包了一种勒索软件，可以加密受感染系统上的文件。

根据安全研究员KevinBeaumont的说法，VSA以管理员权限运行，这使得攻击者也可以将勒索软件发送给受影响的MSP的客户。

一旦感染了受害者系统，恶意软件试图禁用各种MicrosoftDefenderforEndpoint保护，包括实时监控、IPS、脚本扫描、网络保护、云样本提交、云查找和受控文件夹访问。在部署勒索软件之前，VSA管理员帐户显然已被禁用。

根据Huntress的说法，本次攻击似乎是由REvil/Sodinokibi勒索软件即服务运营者发起。

Kaseya是一家为托管服务提供商(MSP)和IT公司提供IT管理软件的公司，他们将周末遭到的REvil（又名Sodinokibi）勒索软件攻击描述为针对其本地VSA产品的“复杂的网络攻击”。除了建议所有客户关闭其本地VSA服务器，直至另行通知外，Kaseya还决定在调查进行期间立即关闭他们的软件即服务(SaaS)服务器，作为一项保守的安全措施。

截止发文时，Kaseya尚未发布有关此次攻击的技术信息，但网络安全和基础设施安全局(CISA)透露，攻击者利用Kaseya的VSA软件推送恶意脚本。

攻击者利用VSA软件推送恶意PowerShell脚本，然后将REvil勒索软件载荷加载到客户系统上。同样重要的是，非kaseya的客户也可能通过他们的服务提供商受到影响。

影响KaseyaVSA的Sodinokibi/REvil勒索软件（检测为Ransom.Win32.SODINOKIBI.YABGC）会禁用某些服务并终止与合法软件（如浏览器和生产力应用程序）相关的进程。具体来说，它终止以下进程：

?agntsvc

?dbeng50

?dbsnmp

?encsvc

?excel

?firefox

?infopath

?isqlplussvc

?msaccess

?mspub

?mydesktopqos

?mydesktopservice

?ocautoupds

?o

转载请注明:http://www.hechaoqiongq.com/jxnwjc/20932.html