行业动态

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
分发勒索软件攻击服务器托管服务商活动死灰复燃
2019-06-24 14:30:19 【

今年2月中旬,为了在一次攻击中大规模感染客户,勒索软件分发者现在已经开始针对托管服务供应商(MSP)。当时的报告显示,多个MSP遭到黑客攻击,导致数百个客户感染了GandCrab勒索软件。现在,这种攻击方式又死灰复燃了,到目前为止,勒索软件团伙已经破坏了至少三家托管服务供应商(MSP)的基础设施,并使用远程管理工具,即Webroot SecureAnywhere控制台,在托管服务供应商的客户系统上部署勒索软件。


攻击细节目前还不够详细,事件的影响范围以及相关托管服务供应商的信息也还没有。但根据目前发现的信息,攻击者可能以某种方式获得了托管服务供应商的两个远程管理工具——一个来自Webroot,另一个来自Kaseya——来分发勒索软件。

1. 黑客通过RDP(远程桌面端点)进入

Huntress Lab的联合创始人兼首席执行官Kyle Hanslovan表示,黑客通过暴露的RDP(远程桌面端点),受损系统内的特权升级以及手动卸载的AV产品(如ESET和Webroot)入侵托管服务提供商。

在攻击的下一阶段,黑客搜索Webroot SecureAnywhere的帐户,这是托管服务供应商用来管理远程工作站(在其客户网络中)的远程管理软件(控制台)。然后,黑客使用控制台在远程工作站上执行Powershell脚本,下载并安装Sodinokibi勒索软件的脚本。

到目前为止,至少有三个托管服务供应商以这种方式被黑客入侵。一些Reddit用户还报告说,黑客可能也使用了Kaseya VSA远程管理控制台,但这一点还未得到研究人员的证实。

三家供应商中有两家公司只有运行Webroot的主机被感染,考虑到Webroot的管理控制台允许管理员远程下载和执行文件到端点,这是一个看似合理的攻击媒介。

2. WEBROOT为SECUREANYWHERE帐户部署2FA(双因素身份认证)

根据Hanslovan收到的一封电子邮件,Webroot开始强制为SecureAnywhere帐户启用双因素身份认证,希望防止黑客利用任何其他可能被劫持的帐户部署新的勒索软件。

SecureAnywhere支持2FA,但在默认情况下不启用该功能。

Sodinokibi勒索软件是一种相对较新的勒索软件,于4月下旬发现。当时,威胁行为者正在使用Oracle WebLogic 0-day攻击公司网络并部署勒索软件。Sodinokibi勒索软件可以加密受感染系统上的数据并删除副本备份。

现在针对托管服务供应商的攻击是第二次攻击浪潮,第一次攻击时黑客组织利用常用MSP工具中的漏洞在客户的工作站上部署GandCrab勒索软件。巧合的是,第一次攻击被报道出来时,罗马尼亚当地媒体报道说,该国首都布加勒斯特有五家医院感染了GandCrab勒索软件。但是,没有证据表明这两个事件之间没有联系。

对托管服务供应商的攻击越来越令人担忧。一些由国家赞助的威胁组织已开始以托管服务供应商为目标,并试图进入其客户网络。APT10是针对托管服务供应商的最著名的组织之一,在过去几年中,该组织一直在进行一项名为Cloud Hopper的网络间谍活动,通过攻击托管服务供应商来窃取银行、制造业、电子产品和其他许多行业的组织数据。

2018年10月,美国国土安全部发布了题为《利用托管服务提供商的高级持续性威胁活动》的警报,讨论了不良行为者如何针对MSP获取其客户网络的访问权限。


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇工业互联网最需要解决的两个问题.. 下一篇记一次被DDoS敲诈的历程

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:13051179500 18910191973
企业QQ:1245940436
技术支持:010-56159998
E-Mail:xihedata.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:18910191973
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800