CISA 和 FBI 发布了针对受 REvil 供应链勒索软件攻击 Kaseya 影响的受害者的指南

007bug 2021-07-06
专栏 发布于 2021-07-06 09:45:36 阅读 278 评论 0

美国机构向受影响的 MSP 及其客户提供了有关如何检查其基础设施是否存在危害指标的说明。

Kaseya 发布了一种检测工具 ,组织可以使用该工具来确定您的基础设施是否已遭到破坏。

在 CISA 和 FBI 为受影响的 MSP 发布的咨询中包含的建议列表下方:

  • 下载 Kaseya VSA 检测工具。此工具分析系统(VSA 服务器或受管端点)并确定是否存在任何危害指标 (IoC)。
  • 在组织控制下的每个帐户上启用和实施多重身份验证 (MFA),并尽可能为面向客户的服务启用和实施 MFA。
  • 实施许可名单以将与远程监控和管理 (RMM) 功能的通信限制为已知 IP 地址对,和/或
  • 将 RMM 的管理接口置于虚拟专用网络 (VPN) 或专用管理网络上的防火墙之后。

建议受攻击影响的 MSP 客户尽可能使用和强制执行 MFA,并通过将它们放置在气隙系统上来保护他们的备份。

CISA 和 FBI 推荐受影响的 MSP:

  • *下载 Kaseya VSA 检测工具。此工具分析系统(VSA 服务器或受管端点)并确定是否存在任何危害指标 (IoC)。 *
  • 在组织控制下的每个帐户上启用和实施多重身份验证 (MFA),并尽可能为面向客户的服务启用和实施 MFA。
  • 实施许可名单以将与远程监控和管理 (RMM) 功能的通信限制为已知 IP 地址对,和/或
  • 将 RMM 的管理接口置于虚拟专用网络 (VPN) 或专用管理网络上的防火墙之后。

两家美国机构还推荐受影响的 MSP 客户:

  • 确保备份是最新的并存储在与组织网络隔离的易于检索的位置;

  • 恢复到遵循供应商补救指南的手动补丁管理流程,包括在新补丁可用时立即安装;

  • 实施:

    • 多因素身份验证;

    • 关键网络资源管理员帐户的最小权限原则。

      如果您认为您的系统已经在卡西亚勒索事件泄露,我们强烈建议您关闭VSA服务器和接触CISA,我们的合作伙伴[@FBI](https://twitter.com/FBI?ref_src=twsrc%5Etfw),与在提交报告<https://t.co/V1Z2YzlPTW>
我们与 Kaseya 和[@FBI 合作](https://twitter.com/FBI?ref_src=twsrc%5Etfw)以帮助受影响的人。<https://t.co/vFwJ6iyKog>网络安全和基础设施安全局 (@CISAgov) [202174](https://twitter.com/CISAgov/status/1411821930521497600?ref_src=twsrc%5Etfw)

“由于这一事件的潜在规模,美国联邦调查局和CISA可能无法单独每一个受害者回应,但我们收到的将是打击这种威胁有用的所有信息,”国家的咨询由FBI公布。

#FBI对卡西亚勒索攻击声明@CISAgov https://t.co/EHuplZdgAZ pic.twitter.com/hz9inabQgC

联邦调查局(@FBI[202174](https://twitter.com/FBI/status/1411797818587684866?ref_src=twsrc%5Etfw)

这两个联邦机构还提供了资源来分享对事件的认识和要遵循的最佳实践。

调查仍在进行中, 据安全公司 Huntress Labs 称 ,至少有 1000 家组织受到影响,这使得这次事件成为历史上最大的勒索软件攻击之一。

根据该组织在其泄密网站上分享的消息,情况可能更糟,该团伙声称在超过一百万个系统上加密了文件,并为通用描述符提供了出路。

“周五(2021 年 7 月 2 日),我们对 MSP 提供商发起了攻击。超过一百万个系统受到感染。如果有人想就通用解密器进行谈判——我们的价格是 70 000 000 美元的 BTC,我们将公开发布解密所有受害者文件的解密器,这样每个人都可以在不到一个小时的时间内从攻击中恢复过来。如果您对此类交易感兴趣,请使用受害者的“自述”文件说明与我们联系。” 在其泄漏站点上读取消息。

REvil 勒索软件最初向在此活动中受感染的端点的所有者询问 44,999 美元的比特币,但现在它似乎有兴趣以7,000 万美元的巨额赎金结束游戏。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!