攻击托管服务提供商后,对勒索软件的攻击得以恢复

发布者:上海IT外包来源:http://www.lanmon.net点击数:774

今年2月中旬,勒索软件分销商现在瞄准托管服务提供商(MSP),以便在攻击中大规模感染客户。当时,报告显示多个MSP被黑客攻击,导致数百名客户感染GandCrab勒索软件。
现在,这种类型的攻击已经复活。到目前为止,勒索软件团队已经破坏了至少三个托管服务提供商(MSP)基础架构,并在托管服务提供商中使用了远程管理工具Webroot SecureAnywhere控制台。勒索软件部署在客户端系统上。
攻击的细节还不够详细,事件的范围和相关托管服务提供商的信息尚不可用。但根据目前发现的信息,攻击者可以某种方式获得两个远程管理工具的访问权限,主机提供商——一个来自Webroot,一个来自Kaseya——来分发勒索软件。
1.黑客通过RDP(远程桌面端点)进入
Huntress Lab的联合创始人兼首席执行官Kyle Hanslovan表示,黑客通过暴露的RDP(远程桌面端点)入侵托管服务提供商,在受损系统中进行特权升级,并手动卸载ESET和Webroot等AV产品。
在攻击的下一阶段,黑客会搜索Webroot SecureAnywhere帐户,该帐户是托管服务提供商用于管理远程工作站(在其客户网络中)的远程管理软件(控制台)。然后,黑客使用控制台在远程工作站上执行Powershell脚本,下载并安装Sodinokibi勒索软件的脚本。
到目前为止,至少有三家托管服务提供商以这种方式遭到黑客入侵。一些Reddit用户还报告说,黑客也可能使用Kaseya VSA远程管理控制台,但研究人员尚未证实这一点。
三个供应商中的两个仅受运行Webroot的主机的感染。考虑到Webroot的管理控制台允许管理员远程下载和执行文件到端点,这是一个看似合理的攻击媒介。2. WEBROOT为SECUREANYWHERE帐户部署2FA(双因素身份验证)
根据Hanslovan收到的一封电子邮件,Webroot开始强制对SecureAnywhere帐户进行双因素身份验证,希望防止黑客使用任何其他可能被劫持的帐户部署新的勒索软件。
SecureAnywhere支持2FA,但默认情况下不启用。
Sodinokibi勒索软件是一种相对较新的勒索软件,发现于4月下旬。当时,威胁行为者正在使用Oracle WebLogic 0-day来攻击企业网络并部署勒索软件。 Sodinokibi勒索软件可以加密受感染系统上的数据并删除复制备份。
对托管服务提供商的攻击现在是第二波攻击。在第一次攻击中,黑客利用常见MSP工具中的漏洞在其工作站上部署GandCrab勒索软件。巧合的是,当第一次袭击报道时,罗马尼亚当地媒体报道,该国首都布加勒斯特的五家医院感染了GandCrab勒索软件。但是,没有证据表明这两个事件之间没有联系。
对托管服务提供商的攻击越来越令人担忧。一些由国家赞助的威胁组织已开始瞄准托管服务提供商,并试图进入其客户网络。 APT10是托管服务提供商最知名的组织之一。在过去的几年里,该组织一直在进行名为Cloud Hopper的网络间谍活动,该活动通过托管服务提供商窃取银行,制造和攻击。电子和许多其他行业的组织数据。
2018年10月,美国国土安全部发布了一份名为《利用托管服务提供商的高级持续性威胁活动》的警报,讨论不良演员如何获得MSP客户网络的访问权限。
IT外包
>
400-635-8089
立即
咨询
电话咨询
服务热线
400-635-8089
微信咨询
微信咨询
微信咨询
公众号
公众号
公众号
返回顶部