勒索软件帮派破坏了至少三个托管服务提供商(MSP)的基础架构,并使用了他们所使用的远程管理工具Webroot SecureAnywhere控制台在MSP的客户系统上部署了勒索软件。
勒索软件感染是在今天的Reddit专门针对MSP的部分中首次报告的,MSP是为全球公司提供远程IT服务和支持的公司。
Huntress Lab的联合创始人兼首席执行官Kyle Hanslovan上线了,并帮助了一些受影响的MSP调查事件。
黑客通过RDP进入
汉斯洛万说,黑客通过暴露的RDP(远程桌面端点),受感染系统内部更高的特权以及手动卸载的AV产品(例如ESET和Webroot)破坏了MSP。
在攻击的下一阶段,黑客搜索了Webroot SecureAnywhere帐户,该帐户是MSP用于管理远程工作站(位于其客户网络中)的远程管理软件(控制台)。
根据Hanslovan的说法,黑客使用控制台在远程工作站上执行Powershell脚本。下载并安装了Sodinokibi勒索软件的脚本。
Huntress Lab的首席执行官表示,至少有3个MSP被这种方式入侵。一些Reddit用户还报告说,在某些情况下,黑客可能还使用了Kaseya VSA远程管理控制台,但这从未得到正式确认。
汉斯洛万说:“两家公司提到只有运行Webroot的主机被感染。” “考虑到Webroot的管理控制台,管理员可以远程下载文件并执行文件到端点,这似乎是可行的攻击手段。”
WEBROOT为SECUREANYWHERE帐户部署2FA
根据Hanslovan收到的一封电子邮件,当天晚些时候,Webroot开始为SecureAnywhere帐户强制启用两因素身份验证(2FA),希望以此防止黑客在一天内使用任何其他可能被劫持的帐户来部署新的勒索软件。
SecureAnywhere支持2FA,默认情况下所有用户都启用了2FA,但是显然某些用户已将其关闭。该公司在电子邮件中表示,它将重新启用2FA,用户无法选择禁用它。
“最近,Webroot的高级恶意软件清除小组发现,威胁者利用少数客户在身份验证和RDP方面不良的网络卫生习惯,从而威胁到了少量客户。” Carbonite公司WEBROOT产品高级副总裁Chad Bacher 通过电子邮件告诉ZDNet。
他补充说:“为了确保为整个Webroot客户社区提供最好的保护,我们决定是时候强制执行双重身份验证了。我们通过在6月20日上午进行控制台注销和软件更新来做到这一点。”
“我们都知道两因素身份验证(2FA)是网络卫生的最佳做法,并且我们鼓励客户使用Webroot管理控制台的内置2FA已有一段时间。我们一直在密切监视威胁环境,并且会一直继续采取此类主动措施,为客户提供最好的保护。”
Sodinokibi勒索软件是一种相对较新的勒索软件,于4月下旬被发现。当时,威胁参与者正在使用Oracle WebLogic零日漏洞来入侵公司网络并部署勒索软件。
今天的事件也是第二波主要攻击浪潮,在此期间,黑客滥用MSP及其远程管理工具在其客户网络上部署勒索软件。
第一次事件发生在2月中旬,当时一个黑客组织利用普遍使用的MSP工具中的漏洞在客户的工作站上部署了GandCrab勒索软件。
巧合的是,在Reddit上详细说明此事件时,罗马尼亚当地媒体报道说,该国首都布加勒斯特有5家医院感染了勒索软件。但是,没有证据表明这两个事件在感染时间范围之外是相关的。
用Webroot语句更新的文章。