概述

本文将讨论Kaseya VSA供应链勒索软件攻击的相关信息，以及Cato为确保客户的安全所采取的措施。

截至2021年7月7日，所有已知与Kaseya VSA勒索软件攻击相关的IOC已在Cato威胁情报平台中实施。 任何匹配此配置文件（或类似配置文件）的流量都将被我们的入侵防护系统（IPS）主动阻止。

背景

截至2021年7月3日，多家组织和管理服务提供商（MSP）已成为REvil（又名Sodinokibi）勒索软件的攻击目标。 这次攻击是在供应链攻击中进行的，重点针对Kaseya VSA软件。 这次攻击使得Kaseya敦促客户关闭他们的VSA服务器以防止被入侵。

REvil（威胁防护系统经常检测到的Ransom.Sodinokibi）是一种用于定向攻击的勒索软件家族。 攻击者会尝试加密受害者网络上的所有计算机，除非支付一大笔钱，否则无法访问文件或数据。

影响

一旦目标计算机感染了Sodinokibi勒索软件，管理访问权限将被禁用，并且恶意代码将开始加密数据。 这是在要求“赎金”之前的初始步骤。

一旦加密过程完成，系统的桌面墙纸会设置为一张声明“您的所有文件都已加密”的图片，并附有链接到一个readme文件，详细说明如何恢复对机器的访问。  每台感染的机器都使用该主机独有的私钥加密，该私钥用于勒索软件的解密过程。 这种策略确保通过传统方式进行的数据检索会导致私钥损坏和永久数据丢失。

如果设备感染了这种勒索软件，除非支付赎金，否则无法从设备上访问（或提取）数据。

Cato 在做什么？

Cato Networks的安全分析师正在不懈地工作，以识别、定位并减轻客户可能面临的任何潜在漏洞或曝露。 

• 通过对Cato客户流量配置文件进行法医分析后，我们已识别出多位目前使用Kaseya产品的客户。 
• 我们的初步分析显示，在我们的客户群中没有感染的证据。 这是基于在野外发布的与攻击相关的妥协指标（IOC）。
• Cato Networks已将所有与此次攻击相关的IOC添加到我们的威胁情报平台中。 这将确保任何此类流量都将被我们的入侵防护系统（IPS）阻止。 
• 建议使用Kaseya产品的客户遵循Kaseya的持续建议。

目前这一情况正在IT领域发展中，Cato Networks正在积极监控和调查此事，以确保我们的客户继续得到保护。