日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢(xún)
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
200家企業(yè)遭遇REvil勒索軟件的MSP供應(yīng)鏈攻擊

周四下午開(kāi)始,REvil 勒索軟件團(tuán)伙(又名 Sodinokibi)似乎又盯上了擁有數(shù)千名客戶的托管服務(wù)提供商(MSPs)。作為 Kaseya VSA 供應(yīng)鏈攻擊的一部分,目前已知有 8 個(gè)大型的 MSP 遭到了攻擊。據(jù)悉,Kaseya VSA 是一個(gè)基于云的 MSP 平臺(tái),允許提供商為客戶執(zhí)行補(bǔ)丁管理和客戶端監(jiān)控任務(wù)。

成都創(chuàng)新互聯(lián)專(zhuān)注于石家莊網(wǎng)站建設(shè)服務(wù)及定制,我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗(yàn)。 熱誠(chéng)為您提供石家莊營(yíng)銷(xiāo)型網(wǎng)站建設(shè),石家莊網(wǎng)站制作、石家莊網(wǎng)頁(yè)設(shè)計(jì)、石家莊網(wǎng)站官網(wǎng)定制、小程序設(shè)計(jì)服務(wù),打造石家莊網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供石家莊網(wǎng)站排名全網(wǎng)營(yíng)銷(xiāo)落地服務(wù)。

Huntress Labs 的 John Hammond 向 BleepingComputer透露,所有受影響的 MSP 都在使用 Kaseya VSA,且他們有證據(jù)表明他們的客戶也受到了影響,包括 3 個(gè) Huntress 合作伙伴 / 大約 200 家企業(yè)。

截止美東時(shí)間當(dāng)天下午 2 點(diǎn),此類(lèi)潛在攻擊似乎僅限于少數(shù)內(nèi)部部署客戶。但 Kaseya 還是在網(wǎng)站上發(fā)布了安全公告,警告所有 VSA 客戶立即關(guān)閉他們的服務(wù)器,以防止事態(tài)的進(jìn)一步蔓延。

目前我們正在非常謹(jǐn)慎地調(diào)查時(shí)間的根本原因,但在收到進(jìn)一步的通知之前,建議大家立即關(guān)閉自家的 VSA 服務(wù)器。

該操作至關(guān)重要,還請(qǐng)立即執(zhí)行,因?yàn)楣粽咦龅牡谝患?,就是關(guān)上 VSA 管理訪問(wèn)的大門(mén)。

執(zhí)行 REvil 勒索軟件的 PowerShell 命令(圖 via Reddit)

在致 BleepingComputer 的一份聲明中,Kaseya 表示他們已經(jīng)關(guān)閉了自家的 SaaS 服務(wù)器,并且正在與其它安全公司合作調(diào)查這一事件。

此外大多數(shù)勒索軟件加密攻擊都選在了周末的深夜進(jìn)行,因?yàn)槟菚r(shí)負(fù)責(zé)網(wǎng)絡(luò)監(jiān)控的人手最少。鑒于本次攻擊發(fā)生在周五中午,攻擊者很可能瞄準(zhǔn)這周末發(fā)起更大范圍的行動(dòng)。

agent.exe 可執(zhí)行文件的簽名

John Hammond 與 Sophos 的 Mark Loman 都向 BleepingComputer 透露,針對(duì) MSP 的攻擊,似乎是通過(guò) Kaseya VSA 發(fā)起的供應(yīng)鏈攻擊。

前者稱(chēng),Kaseya VSA 會(huì)將 agent.crt 文件放到 c:\kworking 文件夾中,并作為“Kaseya VSA Agent Hot-fix”更新來(lái)分發(fā)。

然后借助合法的 Windowscertutil.exe 這個(gè) PowerShell 命令對(duì) agent.crt 文件進(jìn)行解碼,并將 agent.exe 文件提取到同一文件夾中。

agent.exe 使用了來(lái)自“PB03 TRANSPORT LTD”的簽名證書(shū),輔以嵌入的“MsMpEng.exe”和“mpsvc.dll”(后面這個(gè)動(dòng)態(tài)鏈接庫(kù)文件又被 REvil 勒索軟件的加密器所使用)。

agent.exe 提取并啟動(dòng)的嵌入式資源代碼

MsMPEng.exe 是合法的 Microsoft Defender 可執(zhí)行文件的舊版本,它被當(dāng)做 LOLBin 以調(diào)用動(dòng)態(tài)鏈接庫(kù)(DLL)文件,并通過(guò)受信任的可執(zhí)行文件進(jìn)行加密。

此外一些樣本還向受感染的計(jì)算機(jī)注入了帶有政治色彩的 Windows 注冊(cè)表項(xiàng)及配置更改,比如 BleepingComputer 就在 [VirusTotal] 樣本中看到了 BlackLivesMatter 密鑰被用于存儲(chǔ)來(lái)自攻擊者的配置信息。

若不幸中招,勒索軟件團(tuán)伙會(huì)向受害者索取 500 萬(wàn)美元的贖金,以獲得針對(duì)其中一個(gè)樣本的解密器。

而且通常 REvil 會(huì)在部署文件加密型勒索軟件前竊取受害者的數(shù)據(jù),但目前尚不清楚本次攻擊有泄露哪些文件。


當(dāng)前名稱(chēng):200家企業(yè)遭遇REvil勒索軟件的MSP供應(yīng)鏈攻擊
網(wǎng)站鏈接:http://www.5511xx.com/article/ccocijj.html