上周,REvil勒索軟件團(tuán)伙對(duì)MSPs(管理服務(wù)提供商)及其客戶開展了看似成功的大規(guī)模勒索軟件攻擊,但他們索要贖金的策略和程序上出現(xiàn)了問題,導(dǎo)致他們獲得很少的支付贖金,攻擊收效甚微。
通常,當(dāng)一個(gè)勒索軟件團(tuán)伙實(shí)施攻擊時(shí),他們會(huì)進(jìn)行網(wǎng)絡(luò)入侵,竊取數(shù)據(jù)并刪除相應(yīng)數(shù)據(jù)備份,最后對(duì)受害者的設(shè)備進(jìn)行加密。
當(dāng)受害者看到數(shù)據(jù)被竊取,備份被刪除,設(shè)備被加密時(shí),他們幾乎走投無(wú)路,只能選擇支付贖金。
然而,負(fù)責(zé)這次攻擊的REvil下屬團(tuán)隊(duì),選擇放棄典型的策略和程序。他們利用Kaseya內(nèi)部的VSA服務(wù)器中的一個(gè)0day,在沒有訪問受害者網(wǎng)絡(luò)的情況下實(shí)施了大規(guī)模、廣泛的攻擊。這一攻擊策略導(dǎo)致了歷史上最嚴(yán)重的勒索軟件攻擊,在一次攻擊中,大約1500家企業(yè)的數(shù)據(jù)被加密。然而,這次攻擊只有兩家公司支付了贖金解密被加密的數(shù)據(jù)。
原因很簡(jiǎn)單,本次攻擊中,勒索團(tuán)隊(duì)沒有刪除相應(yīng)數(shù)據(jù)備份,也沒有竊取數(shù)據(jù),因此他們的操作對(duì)受害者的影響很小,受害者可以通過備份數(shù)據(jù)恢復(fù)服務(wù)。
一些網(wǎng)絡(luò)安全研究員告訴我們,本次事件的受害者是幸運(yùn)的,因?yàn)樵搱F(tuán)隊(duì)沒有辦法自由訪問相應(yīng)網(wǎng)絡(luò),只擁有自動(dòng)刪除備份的權(quán)限,因此無(wú)法對(duì)受害者公司造成嚴(yán)重威脅。
例如,Emsisoft的首席技術(shù)官Fabian Wosar提取了在攻擊中使用的一個(gè)REvil勒索軟件樣本的配置,它顯示REvil做了一個(gè)初步的嘗試,刪除了包含“backup”字符串的文件夾中的文件。
然而,這種方法似乎沒有成功,本次事件的一個(gè)受害者告訴我們,他們的數(shù)據(jù)備份沒有受到影響,所以他們選擇恢復(fù)數(shù)據(jù)而不是支付贖金。
在本次Kaseya攻擊中,攻擊者選擇通過針對(duì)軟件而不是直接進(jìn)入MSP的網(wǎng)絡(luò)來(lái)嘗試影響每一個(gè)Kaseya客戶端。為了獲得較大的攻擊范圍,他們犧牲了在MSP控制級(jí)別上加密/清除備份的操作,導(dǎo)致本次攻擊事件的影響極小。
雖然這一漏洞被成功利用確實(shí)令人印象深刻,但本次攻擊沒有達(dá)到一次MSP攻擊通常會(huì)造成的破壞程度,即備份被故意刪除或加密,而且不支付贖金就沒有其他辦法能恢復(fù)數(shù)據(jù)的程度。
受影響的MSPs將在一段時(shí)間內(nèi)恢復(fù)他們的服務(wù),但到目前為止,幾乎沒有需要支付贖金的客戶,那些最終支付贖金的受害者很可能只是因?yàn)樗麄儧]有足夠的備份來(lái)恢復(fù)數(shù)據(jù)。
本文翻譯自 原文鏈接?。
來(lái)源:安全客