俄語勒贖軟體大舉攻擊美國供應鏈、上千企業網路癱瘓,拜登警告若俄官方指使必報復

俄語勒贖軟體大舉攻擊美國供應鏈、上千企業網路癱瘓,拜登警告若俄官方指使必報復

7月2日,一場大規模的勒贖軟體攻擊,美國至少上千家公司受害,全球受感染電腦恐達4萬部,大中小型企業通吃,規模之大前所未有。

安全公司Huntress Labs 的約翰‧哈蒙德說,REvil 集團是一個主要的俄語勒贖軟體集團,似乎是這次襲擊的幕後黑手。他說,犯罪份子的目標是一家名為Kaseya 的軟體供應商,利用其網路管理包作為管道,透過雲端服務提供商來進一步傳播勒贖軟體。其他研究人員同意哈蒙德的評估。

哈蒙德在一條推文中說:「Kaseya 在全球範圍提供服務的範圍包括現有的大企業,也有小公司,因此最終,這有可能擴展到任何規模的企業。」

哈蒙德說: 「這是一次巨大且有毀滅性的供應鏈攻擊。」

此類網路攻擊通常會滲透到廣泛使用的軟體中,並在惡意軟體自動更新時傳播。

目前尚不清楚有多少Kaseya 客戶可能會受到影響,或者他們可能是誰。Kaseya 在其網站上的一份聲明中敦促客戶立即關閉執行受影響軟體的伺服器。該公司表示,此次攻擊僅限於「少數」客戶。

「帶有勒贖軟體的SolarWinds翻版」

網路安全公司Emsisoft 的安全專家佈雷特‧卡洛(Brett Callow) 表示,他不知道以前是否發生過如此大規模的勒贖軟體供應鏈攻擊。他說,曾經發生過一些,但它們相當小。

「這是帶有勒贖軟體的SolarWinds,」他指的是去年12 月發現的俄羅斯網路間諜駭客活動,該活動以感染網路管理軟體進行傳播,以滲透到美國聯邦機構和數十家公司。

Rendition Infosec 總裁網路安全研究員傑克‧威廉姆斯表示,他已經與六家受到襲擊的公司合作。他說,這發生在7 月4 日週末之前並非偶然,因為那時IT 人員普遍很少。

他說:「在我看來,從時機看是有意為之的,這一點毋庸置疑。」

Huntress的哈蒙德說,他知道四家為多個客戶託管IT基礎設施的公司受到勒贖軟體的攻擊,該軟體會對網路進行加密,直到受害者支付攻擊者索要的費用。他說,有數千台電腦被攻擊。

哈蒙德說:「我們目前有三個Huntress合作夥伴,大約有200 家企業已經被加密。」

JBS攻擊

哈蒙德在推文中寫道:「根據我們現在看到的一切,我們堅信這是REvil/Sodinikibi。」 FBI 將同一勒贖軟體提供商與5 月份對全球主要肉類加工商JBS SA的攻擊事件表示兩者有相關連。

聯邦網路安全和基礎設施安全局在週五晚發出的一份聲明中表示,它正在密切監視局勢,並與FBI 合作收集有關其影響的更多資訊。

CISA 敦促任何可能受到影響的人「按照Kaseya 的指導立即關閉VSA 伺服器」。Kaseya 執行所謂的虛擬系統管理員或VSA,用於遠端管理和監控客戶的網路。

私人控股的Kaseya 表示,其總部位於愛爾蘭都柏林,美國總部位於邁阿密。《邁阿密先驅報》最近在一篇關於該公司因近期收購網路安全平台,因而計畫到2022 年僱用多達500 名員工的報導中,將該公司稱作「邁阿密最古老的科技公司之一」。

愛爾蘭網路安全顧問布賴恩‧霍南(Brian Honan) 週五在電子郵件中表示:「這是一次典型的供應鏈攻擊,犯罪分子損害了一家值得信賴的公司供應商,並濫用這種信任來攻擊他們的客戶。」

他說,小型企業可能很難抵禦這種類型的攻擊,因為它們「依賴供應商的安全性以及這些供應商使用的軟體」。

拜登下令徹查

Rendition Infosec 的威廉姆斯說,唯一的好消息是,「我們的許多客戶並沒有在其網路中的每台電腦上都安裝Kaseya」,這使得攻擊者更難全面掌控該機構的全部電腦系統。他說,這使得恢復工作更容易。

自2019 年4 月開始活躍的REvil 組織提供「勒贖即服務」,這意味著它開發網路癱瘓軟體並將其出租給所謂的附屬機構,這些附屬機構利用他們提供的服務,去感染目標並賺取大部分贖金。

Palo Alto Networks網路安全公司在最近的一份報告中表示,去年受害者向該組織支付的平均贖金約為50 萬美元。一些網路安全專家預測,鑑於受害者人數眾多,該集團可能難以處理贖金談判,但美國的長週末假期可能會給它更多準備時間。

拜登總統已下令聯邦情報界「徹查」這次攻擊到底是怎麼回事,但目前還不能確定俄國躲在幕後指使,4日應能更加瞭解;拜登也表示,還沒打電話給俄國總統普丁,談論最新這一波勒贖軟體攻擊。但如果確定俄國官方罪涉及此事,美國必將報復。

 

▶ 訂閱T客邦YT頻道,送萬元【OVO K1 智慧投影機】給你

使用 Facebook 留言

發表回應

謹慎發言,尊重彼此。按此展開留言規則