IT管理软件Kaseya成为REvil勒索软件的攻击跳板，惊动白宫

专门开发网络、系统与资讯科技基础设施托管软件的美国业者Kaseya，在美东夏令时间（EDT）上周五（7/2）下午4点左右（台北时间7/3凌晨4点）发现，骇客借由危害该公司的远端监控与管理软件Kaseya VSA，针对Kaseya客户展开REvil勒索软件攻击，资安业者Huntress估计至少有数千家小型企业受到冲击，而REvil则对外宣称已加密了逾100万个系统，此事更惊动了白宫，美国总统拜登（Joy Biden）已指示，包括FBI与CISA等美国-组织全力协助Kaseya。

Kaseya VSA为一统一的远端监控与管理软件，它能同时监控网络并管理各种端点装置，包括自动化各种任务、缓解IT意外，还能自动进行漏洞管理与安全修补。Kaseya除了打造就地部署的Kaseya VSA软件之外，也提供了云端的VSA SaaS服务。

图片来源_Kaseya

Kaseya在2日指出，骇客攻击了就地部署的Kaseya VSA软件，但并未危及VSA SaaS服务，建议Kaseya VSA软件客户立即关闭相关的服务器，且为防万一，Kaseya也暂时关闭VSA SaaS服务。

尽管Kaseya在2日时表示，全球只有不到40家采用Kaseya VSA软件的客户受到影响，但资安业者Huntress则说，有30家采用Kaseya VSA软件的托管服务供应商（MSPs）受到波及，这些供应商分别位于美国、澳洲、欧洲与拉丁美洲，而它们已有超过1,000家客户的系统被加密。

Huntress指出，在该公司所追踪的30家MSP业者中，有许多并无充足的能力可同时服务或回应逾50家遭到加密的客户，如同一个消防局并无能力同时处理在同一时间着火的50间房子。

而根据Huntress的分析，REvil骇客是利用Kaseya VSA网页界面的认证缺陷，以绕过该服务的身份认证，再上传酬载，并透过Kaseya VSA的资料隐码（SQL Injection）漏洞执行命令。

此外，Huntress也在REvil的官网上看到骇客的声明，骇客宣称它们已对众多的MSP业者发动攻击，加密了数百万个系统，若有人想一次协商一个通用的解密工具，那么售价是价值7,000万美元的比特币。

图片来源_Huntress

现身于2019年的REvil勒索软件被卡巴斯基列为2021年的前五大勒索软件，它的市占率为11%，仅次于Maze与Conti，主要锁定的攻击对象就是MSP业者，猜测是来自俄罗斯的骇客集团所为。

在得知客户遭到攻击之后，Kaseya很快就知会了FBI与CISA，并聘请FireEye与其它资安业者协助缓解相关攻击，以及找出解决之道。目前Kaseya已释出人侵侦测工具（Compromise Detection Tool ）供客户部署并修补漏洞。在7月3日晚间时，约有900家客户向Kaseya索取相关工具。

截至7月4日下午五点半（台北时间5日上午五点半），Kaseya依旧建议Kaseya VSA客户关闭服务器，若要重新启用必须先安装修补程式，至于VSA SaaS也要到7月5日才会陆续重新上线，并将关闭较少用的功能以减少潜在的攻击表面。

FBI与CISA除了已针对该攻击展开调查之外，亦鼓励受害者向它们通报，表示它们虽然无法对每个个别的受害者作出回应，但所有的讯息都将有助于应对相关威胁。

此一攻击的规模之大亦已惊动美国总统，拜登除了指示FBI等-机关全力协助Kaseya之外，还说目前并不确定此事是否与俄罗斯-有关，等到他得到更完整的资讯之后，将会进一步作出回应。