上周五，美國軟件開發(fā)商 Kaseya Ltd. 遭遇了勒索軟件 REvil 的攻擊,，攻擊主要集中在 Kaseya VSA 軟件上,，這次攻擊影響了多個托管服務(wù)提供商及其一千多名客戶。

　　Kaseya 是一家來自瑞典的 IT 公司,，于1999年獲得了美國專利局認(rèn)證的 Kaseya VSA（虛擬系統(tǒng)管理）專利和連接算法專利,。Kaseya VSA 是一個基于云的 MSP 平臺，允許提供商為其客戶執(zhí)行補丁管理和客戶端監(jiān)控,，該平臺為客戶提供了一套基于 Web 的新一代自動化 IT 系統(tǒng)管理解決方案,。MSP 是一種通過建立自己的網(wǎng)絡(luò)運作中心（NOC，Network Operating Center）來為企業(yè)提供24×7×365的系統(tǒng)管理服務(wù)的業(yè)務(wù),。MSP 可以實現(xiàn)遠(yuǎn)程的管理,、實時的監(jiān)控和對企業(yè)系統(tǒng)運作情況的統(tǒng)計。

　　為了獲得更好的服務(wù),，在對 MSP 進(jìn)行選擇時,，企業(yè)一般會選擇有強大的市場占有率的產(chǎn)品品牌。Kaseya 就是這樣一個品牌,，至今,，Kaseya 在全球已經(jīng)擁有了超過10000家客戶,，其中包括50%以上的全球100強 IT 管理服務(wù)提供商及各大龍頭企業(yè)，分別來自銀行業(yè),、金融業(yè),、零售業(yè)、貿(mào)易業(yè),、教育機構(gòu),、政府機構(gòu)、醫(yī)療機構(gòu)和交通運輸業(yè)等領(lǐng)域,。截止2011年底,，全球有超過1300萬臺以上的終端和設(shè)備通過 Kaseya 的軟件進(jìn)行管理。

　　為什么是 Kaseya,？

　　正是因為很多大型企業(yè)和技術(shù)服務(wù)供應(yīng)商都選擇使用 Kaseya VSA,，Kaseya 才被選中成為此次供應(yīng)鏈攻擊的對象。

　　供應(yīng)鏈攻擊是一種面向軟件開發(fā)人員和供應(yīng)商的攻擊方式,。攻擊者通過在應(yīng)用中尋找不安全的網(wǎng)絡(luò)協(xié)議,、未受保護(hù)的服務(wù)器基礎(chǔ)結(jié)構(gòu)和不安全的編碼做法，來感染合法應(yīng)用,，分發(fā)惡意軟件,。

　　一般來說，軟件由受信任的供應(yīng)商構(gòu)建和發(fā)布,， 因此這些應(yīng)用和更新版本已被簽名并經(jīng)過相關(guān)安全認(rèn)證,。在軟件供應(yīng)鏈攻擊中， 供應(yīng)商可能未意識到他們的應(yīng)用或更新在發(fā)布到公眾時已經(jīng)受到惡意代碼的感染,，因此一旦供應(yīng)鏈攻擊成功,，惡意代碼將以與應(yīng)用相同的信任和權(quán)限運行。

　　MSP 對于勒索軟件團(tuán)伙來說是一個高價值的目標(biāo),，它們提供了一種通過單一漏洞感染許多公司的簡單渠道,，但發(fā)起攻擊需要黑客對 MSP 及其使用的軟件有深入了解。

　　REvil 就是個中好手,。REvil 擁有一個精通 MSP 使用的技術(shù)的分支機構(gòu),，長期以來一直針對這些公司及其常用軟件進(jìn)行研究。與其他勒索軟件一樣,，REvil 的勒索軟件會鎖住受害者的電腦,，直到受害者以比特幣的形式支付數(shù)字贖金。

　　Kaseya 是否會支付贖金,？

　　REvil 不僅精心挑選了他們的獵物,，為保萬無一失，他們甚至精心挑選了攻擊時間。通常來說,，多數(shù)大規(guī)模勒索軟件攻擊都是在周末的深夜進(jìn)行,，因為此時監(jiān)控網(wǎng)絡(luò)的人員較少。REvil 卻選擇在周五中午發(fā)起攻擊,，在即將到來的周末之前,，員工的工作時間可能縮短且效率不高。

　　REvil 精心策劃的攻擊實施得相當(dāng)順利,。周五,，Kaseya 收到了客戶的報告，報告顯示 Kaseya VSA 本地產(chǎn)品管理的端點出現(xiàn)了異常行為,，不久后,，Kaseya 進(jìn)一步發(fā)現(xiàn)勒索軟件正在端點上執(zhí)行?；谟脩舻膱蟾?， Kaseya 的執(zhí)行團(tuán)隊迅速召開了會議并決定采取兩個步驟來阻止惡意軟件的傳播：向本地客戶發(fā)送通知，要求用戶關(guān)閉他們的 VSA 服務(wù)器以及關(guān)閉 Kaseya 的 VSA SaaS 基礎(chǔ)設(shè)施,。

　　通過調(diào)查,，Kaseya 的安全團(tuán)隊發(fā)現(xiàn)勒索軟件使用了 Kaseya VSA 中的一個漏洞，并宣布將盡快發(fā)布補丁,。據(jù)稱,，此次網(wǎng)絡(luò)攻擊是 REvil 有史以來發(fā)起的規(guī)模最大的一次攻擊，已有八個已知的大型 MSP 受到攻擊,，并且可能已導(dǎo)致全球多達(dá) 4 萬臺電腦被感染,。

　　根據(jù)暗網(wǎng)博客上發(fā)布的信息，REvil 勒索軟件團(tuán)伙聲稱已經(jīng)鎖定了超過 100 萬個系統(tǒng),。

　　翻譯內(nèi)容如下：上周五（02.07.2021）我們對 MSP 供應(yīng)商發(fā)起了一次攻擊。超過 100 萬的系統(tǒng)被感染,。如果有人想就通用解密器進(jìn)行談判--我們的價格是 70000000 美元（BTC）,，我們將公開發(fā)布解密器，解密所有受害者的文件,，所以每個人都將能夠在不到一個小時內(nèi)從攻擊中恢復(fù),。如果你對這樣的交易感興趣，請按照受害者的 “readme”文件說明與我們聯(lián)系,。

　　至今,，Kaseya 并未表明是否會考慮支付贖金。官方發(fā)布的信息表示,，越來越多的 MSP,、經(jīng)銷商及其客戶受到了此次攻擊事件的影響，Kaseya 聲明將繼續(xù)展開調(diào)查、公布信息,，盡力降低客戶的損失,。

　　慣犯 REvil ，作案太頻繁

　　7000萬美元聽上去是一個天文數(shù)字,，但是這不是 REvil 第一次獅子大開口了,。2020 年 5 月，REvil 聲稱破譯了唐納德·特朗普公司用于保護(hù)其數(shù)據(jù)的橢圓曲線密碼術(shù),，并為他們盜竊的數(shù)據(jù)索要4200萬美元的贖金,。

　　最開始，REvil 因從服務(wù)于全球影視娛樂巨星的律師事務(wù)所—— Grubman Shire Meiselas & Sacks 竊取了近 1 TB的信息并勒索贖金而聞名,，從此以后 REvil 就與LadyGaga,、埃爾頓·約翰、羅伯特·德尼羅和麥當(dāng)娜等知名巨星的名字緊緊聯(lián)系在一起,。

　　打出名號之后,，作為黑客界的“明星”，REvil 的犯案頻率簡直可以評為勞模,，僅2021年就憑借其每月至少一起的作案頻率頻頻占據(jù)頭版頭條,。

　　3 月 18 日，REvil 附屬公司在網(wǎng)絡(luò)上聲稱,，他們已從跨國硬件和電子公司宏碁安裝勒索軟件并盜取大量數(shù)據(jù),，并為此索取5000萬美元的贖金。

　　3 月 27 日,，REvil 攻擊哈里斯聯(lián)盟,，并在其博客上發(fā)布了聯(lián)盟的多份財務(wù)文件。

　　4 月,，REvil 竊取了廣達(dá)電腦即將推出的蘋果產(chǎn)品的計劃,，并威脅要公開發(fā)布這些計劃，除非他們收到 5000 萬美元作為贖金,。

　　5 月 30 日,，全球最大肉類供應(yīng)商 JBS 受到 REvil 勒索軟件的攻擊，該公司不得不將所有美國牛肉工廠暫時關(guān)閉,，并中斷了家禽和豬肉工廠的運營,。最終，JBS 還是向 REvil支付了 1100 萬美元的比特幣贖金,。

　　6 月 11 日,，全球再生能源巨擘 Invenergy 證實其作業(yè)系統(tǒng)遭到了勒索軟件的攻擊，REvil聲稱對此事負(fù)責(zé),。

　　7月僅僅過去兩天,，REvil 就按捺不住對 Kaseya 出手了,。

　　為何受害企業(yè)卻只能打碎牙往肚里咽？

　　除了組織本身以外,，REvil 還招募了很多附屬機構(gòu)為他們分發(fā)勒索軟件,，這些附屬機構(gòu)和勒索軟件開發(fā)商都將從支付贖金產(chǎn)生的收入中獲利，也代表著最終贖金會有多個去向,，因此 REvil 團(tuán)伙確切位置難以確定,。

　　對于該組織，各國政府也深惡痛絕,，多次下令進(jìn)行嚴(yán)厲打擊,。不幸的是，之前的事件基本是以 REvil 勒索成功告終,，這次的 Kaseya 事件又會怎樣結(jié)束呢,？