美國CISA呼籲立即關閉Kaseya的VSA 伺服器

在美國迎來7/4國慶日之際，REvil 勒索軟體的幕後駭客投下震撼蛋，他們被發現通過IT供應商Kaseya的VSA軟體的自動更新，將其勒索軟體散播到最少8間MSP和200間企業的網路中，造成史上最大供應鏈勒索攻擊。

這起件事是REvil利用許多託管服務提供商 (MSP) 使用的Kaseya VSA 端點監控軟體進行廣泛的供應鏈攻擊。據知REvil獲得了Kaseya 基礎設施的存取權限，並使用受感染的Kaseya VSA軟體的更新在企業網路上部署勒索軟體藉以加密企業，勒索贖金。

根據外媒報導，受感染的Kaseya惡意更新從VSA 的on prem伺服器，透過使用內部scripting引擎，將勒索軟體部署到所有連接的客戶端系統，Kaseya 敦促所有 IT 管理服務提供商 (MSP) 客戶立即關閉on prem設備，以防止攻擊在調查過程中蔓延。此外，除了建議客戶關閉他們的VSA伺服器之外，為了阻止惡意更新的傳播，並試圖將 REvil從其系統中剷除，Kaseya 還關閉了自己的雲端基礎設施。

投遞: REvil通過 Kaseya中的自動軟體更新

再把這些檔案丟去客戶端的系統上:

agent.exe (dropper): d55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e9f1e
mpsvc.dll: 8dd620d9aeb35960bb766458c8890ede987c33d239cf730f93fe49d90ae759dd

— Mark Loman @🏡 (@markloman) July 2, 2021

Propagation

Kaseya VSA 的設計是以高管理員系統權限運行，REvil使用惡意動態連結程式庫，該庫由合法 Windows Defender 反惡意軟體程式的簽名副本執行，以加密受害者數據。作為攻擊鏈的一部分，惡意軟體執行代碼通過 PowerShell 腳本，禁用 Microsoft Defender for Endpoint 的即時監控、腳本掃描、受控

檔案夾存取(勒索軟體防護功能)、入侵保護系統、雲端查找和樣本提交以及網路保護功能。

powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend

IoCs

d55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e9f1e

8dd620d9aeb35960bb766458c8890ede987c33d239cf730f93fe49d90ae759dd

e2a24ab94f865caeacdf2c3ad015f31f23008ac6db8312c2cbfb32e4a5466ea2

美國網路安全和基礎設施安全局 (CISA) 表示，目前正在針對此攻擊採取行動，以了解並解決此事件。

REvil勒索軟體的情資: 

REvil ransomware Linux version

https://otx.alienvault.com/pulse/60620612447fce2d8297e899

https://otx.alienvault.com/pulse/5ef222cc894e26def88c012f?fbclid=IwAR3kW9d-gk-6L_ZXX9oV0smDFV3K-PppBIw_tIrM4iwKqT9VJ1WrwzptSh8

https://otx.alienvault.com/pulse/5d94e526aed10286c1219a4e

https://otx.alienvault.com/pulse/5dfb4e6841d3dcb0058366ff

Source:

https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-200-companies-in-msp-supply-chain-attack/

https://old.reddit.com/r/kaseya/comments/ocf0x1/kaseya_has_been_hacked_with_randomware_that/

https://gist.github.com/fwosar/a63e1249bfccb8395b961d3d780c0354

臭名昭著的REvil勒索軟體在其揭秘網站Happy Blog上又發文，並列出南內華達大學醫學中心(University Medical Center of Southern Nevada, UMCSN) 為其受害者，根據Review Journal報導，REvil在6月28日發布了只有六名人士的內華達州駕照、護照和社會安全卡的截圖，相信現階段駭客仍與UMCSN進行談判，目前也不知道勒索金額。

 6月29日UMCSN在一份聲明承認遭到入侵，確認網路犯罪分子在 6 月中旬非法存取了其系統用於存儲數據的伺服器。UMCSN說，執法部門現在正在調查這起事件，沒有證據表明在攻擊中存取了任何臨床系統，但會通知患者和員工他們的個資可能處於暴露的風險，醫院還將提供“免費身份保護和信用監控服務”。UMCSN表示其IT部門迅速採取行動，入侵僅影響了內部間歇性的電腦登錄問題，但沒有影響患者護理或 UMC 的臨床系統並沒有中斷。聲明更進一步說：“這種類型的攻擊在醫療保健行業變得越來越普遍，世界各地的醫院都遇到了類似的情況。”

聲明並未提及駭客的動機，但專門跟踪勒索軟體的 Emsisoft 安全研究員Brett Callow表示，REvil擅長在鎖定目標組織的系統之前竊取目標組織的數據，然後威脅要在網上發布數據以迫使組織支付贖金。Callow補充說，REvil可能以威脅要發布從整容手術過程中的前後照片等，盡其所能向UMCSN施加壓力。

截至目前仍無法打開官方網站的頁面:

UMCSN是一家非營利性公立醫院，也是內華達州唯一的 1 級創傷中心(Level 1 Trauma Center)。

REvil勒索軟體的情資: 

REvil ransomware Linux version

https://otx.alienvault.com/pulse/60620612447fce2d8297e899

https://otx.alienvault.com/pulse/5ef222cc894e26def88c012f?fbclid=IwAR3kW9d-gk-6L_ZXX9oV0smDFV3K-PppBIw_tIrM4iwKqT9VJ1WrwzptSh8

https://otx.alienvault.com/pulse/5d94e526aed10286c1219a4e

https://otx.alienvault.com/pulse/5dfb4e6841d3dcb0058366ff

隨著企業轉向虛擬機以便更輕鬆地進行備份、設備管理和有效利用資源，同時也有越來越多的勒索軟體組織建立自己的工具來對 VM 使用的存儲進行大規模加密。現在資安研究員發現REvil 勒索軟體操作Linux 加密工具，來攻擊與加密VMware ESXi虛擬機器。

根據資安公司Advanced Intelligence的執行長Vitali Kreme分享了他分析REvil勒索軟體 的Linux變種是如何殺掉VM 的 process:

1. Leverages “esxcli” CLI component to kill VMs via world id

2. affiliate “sub”:”7864″ | usual struct

3. GCC: (Ubuntu 4.8.4-2ubuntu1~14.04.4) 4.8.4

另外AT &T Alien Labs技術總監Jaime Blasco，也分享了Linux 版的REvil勒索軟體的惡意程式特徵規則YARA RULE與Hash值:

FileHash-MD5 ab3229656f73505a3c53f7d2e95efd0e

FileHash-MD5 e199f02ffcf1b1769c8aeb580f627267

FileHash-MD5 96a157e4c0bef22e0cea1299f88d4745

FileHash-MD5 395249d3e6dae1caff6b5b2e1f75bacd

FileHash-SHA256 3d375d0ead2b63168de86ca2649360d9dcff75b3e0ffa2cf1e50816ec92b3b7d

FileHash-SHA256 796800face046765bd79f267c56a6c93ee2800b76d7f38ad96e5acb92599fcd4

FileHash-SHA256 d6762eff16452434ac1acc127f082906cc1ae5b0ff026d0d4fe725711db47763

FileHash-SHA256 ea1872b2835128e3cb49a0bc27e4727ca33c4e6eba1e80422db19b505f965bc4

FileHash-SHA1 446771415864f4916df33aad1aa7e42fa104adee

FileHash-SHA1 45404b862e70a7a1b4db6c73d374b8ac19ddf772

FileHash-SHA1 9586ebc83a1b6949e08820b46faf72ee5b132bca

FileHash-SHA1 29f16c046a344e0d0adfea80d5d7958d6b6b8cfa

看更多Linux版REvil勒索軟體的情資: REvil ransomware Linux version

根據Malwarebytes 的資安分析師Mr. Rivero取得的被駭公司(以下稱U公司)與REvil的缐上對話，由於該公司已付贖金，REvil釋出解密工具，U公司可直到7月11日截止時間前享有免費解密工具的使用權，一般來說，就算付了贖金給勒索軟體的駭客團體，他們釋出的解密工具是有時效性的，通常在䆁出的當天至往後的3-4個禮拜有效。如果沒有在時效內完成解密，駭客也不會再延長或給與新的解密功具。

在下圖的案例， 由於U公司的員工在收信過程不慎點擊了帶有惡意病毒的檔案使駭客有機可乘，把病毒payload安裝到受感染的電腦，之後REvil使用工具掃描電腦和所有用戶授權的數據，這授權數據正可用於遠端存取U公司網路。

REvil表示在掃描網路時，發現一個帶有遠端程式碼執行（RCE）弱點的伺服器，並進一步以該RCE來執行payload並收集對伺服器的所有存取權限。接下來，REvil以安全工具從伺服器中轉儲所有可能的密碼，並使用這些密碼收集對其他網路的存取，直到存取網域控制器。REvil植入木馬程式以鍵盤側錄方法式，存取和操控整個 IT 基礎設施。

由於駭客修改了M公司的防毒config，可逃避在IT 網路被檢測到，在收集並存取所有可能的 IT數據後，駭客也找到了連接到M公司其餘分公司的方法，在收集完M公司所有有價值的數據，REvil正式加密M公司的IT 系統。

在這案例中，REvil通過垃圾郵件活動來突破M公司的防禦，進入企業內部網路。透過教育訓練與各種社交工程的演練，提高員工的資安意識真的很重要!

這一兩年以來，REvil勒索軟體的威脅越來越大，台灣企業包括台灣塩野義製藥、宏碁、日月光孫公司Asteelflash Group、廣達紛紛遭到REvil的毒手，

在國外REvil的受害者更是不計其數，包括再生能源公司Invenergy，美國肉類供應巨頭 JBS，印度最大鋼鐵生產商塔塔鋼鐵等

有關REvil勒索軟體的情資:

https://otx.alienvault.com/pulse/60620612447fce2d8297e899

https://otx.alienvault.com/pulse/5ef222cc894e26def88c012f?fbclid=IwAR3kW9d-gk-6L_ZXX9oV0smDFV3K-PppBIw_tIrM4iwKqT9VJ1WrwzptSh8

https://otx.alienvault.com/pulse/5d94e526aed10286c1219a4e

https://otx.alienvault.com/pulse/5dfb4e6841d3dcb0058366ff

*****竣盟科技快報歡迎轉載，但請註明出處