今年2月中旬,为了在一次攻击中大规模感染客户,勒索软件分发者现在已经开始针对托管服务供应商(MSP)。当时的报告显示,多个MSP遭到黑客攻击,导致数百个客户感染了GandCrab勒索软件。现在,这种攻击方式又死灰复燃了,到目前为止,勒索软件团伙已经破坏了至少三家托管服务供应商(MSP)的基础设施,并使用远程管理工具,即Webroot SecureAnywhere控制台,在托管服务供应商的客户系统上部署勒索软件。
攻击细节目前还不够详细,事件的影响范围以及相关托管服务供应商的信息也还没有。但根据目前发现的信息,攻击者可能以某种方式获得了托管服务供应商的两个远程管理工具——一个来自Webroot,另一个来自Kaseya——来分发勒索软件。
1. 黑客通过RDP(远程桌面端点)进入
Huntress Lab的联合创始人兼首席执行官Kyle Hanslovan表示,黑客通过暴露的RDP(远程桌面端点),受损系统内的特权升级以及手动卸载的AV产品(如ESET和Webroot)入侵托管服务提供商。
在攻击的下一阶段,黑客搜索Webroot SecureAnywhere的帐户,这是托管服务供应商用来管理远程工作站(在其客户网络中)的远程管理软件(控制台)。然后,黑客使用控制台在远程工作站上执行Powershell脚本,下载并安装Sodinokibi勒索软件的脚本。
到目前为止,至少有三个托管服务供应商以这种方式被黑客入侵。一些Reddit用户还报告说,黑客可能也使用了Kaseya VSA远程管理控制台,但这一点还未得到研究人员的证实。
三家供应商中有两家公司只有运行Webroot的主机被感染,考虑到Webroot的管理控制台允许管理员远程下载和执行文件到端点,这是一个看似合理的攻击媒介。
2. WEBROOT为SECUREANYWHERE帐户部署2FA(双因素身份认证)
根据Hanslovan收到的一封电子邮件,Webroot开始强制为SecureAnywhere帐户启用双因素身份认证,希望防止黑客利用任何其他可能被劫持的帐户部署新的勒索软件。
SecureAnywhere支持2FA,但在默认情况下不启用该功能。
Sodinokibi勒索软件是一种相对较新的勒索软件,于4月下旬发现。当时,威胁行为者正在使用Oracle WebLogic 0-day攻击公司网络并部署勒索软件。Sodinokibi勒索软件可以加密受感染系统上的数据并删除副本备份。
现在针对托管服务供应商的攻击是第二次攻击浪潮,第一次攻击时黑客组织利用常用MSP工具中的漏洞在客户的工作站上部署GandCrab勒索软件。巧合的是,第一次攻击被报道出来时,罗马尼亚当地媒体报道说,该国首都布加勒斯特有五家医院感染了GandCrab勒索软件。但是,没有证据表明这两个事件之间没有联系。
对托管服务供应商的攻击越来越令人担忧。一些由国家赞助的威胁组织已开始以托管服务供应商为目标,并试图进入其客户网络。APT10是针对托管服务供应商的最著名的组织之一,在过去几年中,该组织一直在进行一项名为Cloud Hopper的网络间谍活动,通过攻击托管服务供应商来窃取银行、制造业、电子产品和其他许多行业的组织数据。
2018年10月,美国国土安全部发布了题为《利用托管服务提供商的高级持续性威胁活动》的警报,讨论了不良行为者如何针对MSP获取其客户网络的访问权限。