REvil勒索软件显然正在利用卡西亚(Kaseya)--一个旨在帮助远程管理IT服务的软件平台来分发他们的有害载荷,这毁了不少网络从业人士本周末的假期。Sophos主管和道德黑客Mark Loman今天早些时候介绍了这次攻击,现在报告说,受影响的系统将要求44999美元才能解锁。
Kaseya官方网站上有一条说明,恳请客户暂时关闭他们的VSA服务器,"因为攻击者做的第一件事就是关闭对VSA的管理权限。"
根据Bleeping Computer的一份报告,该攻击针对六个大型MSP,并为多达200家公司的数据进行了加密并开始勒索。
DoublePulsar,Kevin Beaumont发布了更多关于该攻击似乎如何工作的细节,REvil勒索软件通过Kaseya更新到达受害计算机,并使用该平台的管理权限来感染系统。一旦管理服务提供商被感染,他们的系统就可以攻击他们提供远程IT服务的客户(网络管理、系统更新和备份,以及其他事项)。
在一份声明中,Kaseya表示:"我们正在调查针对VSA的潜在攻击,该攻击表明只限于我们少数的内部客户"。一份通知声称,其所有的云服务器现在都处于 "维护模式",该发言人说,采取这一举措是为了 "谨慎起见"。
声明全文如下:
我们正在调查针对VSA的潜在攻击,该攻击表明只限于我们少数的企业内部客户。出于谨慎的考虑,我们已经主动关闭了我们的SaaS服务器。
我们正在以最大的警惕性调查该事件的根本原因,我们已经。
a. 通知我们所有的内部客户,立即关闭他们的VSA服务器
b. 关闭了我们的SaaS服务器
一些安全公司已经进一步通知我们这个问题,我们也在与他们紧密合作。在我们继续调查这一事件的同时,我们将在获得更多信息后向客户(和有关各方)提供最新信息。
Dana Liedholm - Kaseya企业通信高级副总裁
今天的攻击与臭名昭著的REvil勒索软件团伙有关(今年早些时候与对宏碁和北美最大肉联厂JBS的攻击案例)。
(举报)
