设为首页 - 加入收藏 92站长网 (http://www.92zhanzhang.com)- 国内知名站长资讯网站,提供最新最全的站长资讯,创业经验,网站建设等!
热搜: 统一 手机 2019 find
当前位置: 首页 > 运营中心 > 建站资源 > 策划 > 正文

攻击托管服务供应商,分发勒索软件的攻击活动死灰复燃

发布时间:2019-06-25 13:11 所属栏目:[策划] 来源:M4
导读:今年2月中旬,为了在一次攻击中大规模感染客户,勒索软件分发者现在已经开始针对托管服务供应商(MSP)。当时的报告显示,多个MSP遭到黑客攻击,导致数百个客户感染了GandCrab勒索软件。 现在,这种攻击方式又死灰复燃了,到目前为止,勒索软件团伙已经破坏

今年2月中旬,为了在一次攻击中大规模感染客户,勒索软件分发者现在已经开始针对托管服务供应商(MSP)。当时的报告显示,多个MSP遭到黑客攻击,导致数百个客户感染了GandCrab勒索软件。

攻击托管服务供应商,分发勒索软件的攻击活动死灰复燃

现在,这种攻击方式又死灰复燃了,到目前为止,勒索软件团伙已经破坏了至少三家托管服务供应商(MSP)的基础设施,并使用远程管理工具,即Webroot SecureAnywhere控制台,在托管服务供应商的客户系统上部署勒索软件。

攻击细节目前还不够详细,事件的影响范围以及相关托管服务供应商的信息也还没有。但根据目前发现的信息,攻击者可能以某种方式获得了托管服务供应商的两个远程管理工具——一个来自Webroot,另一个来自Kaseya——来分发勒索软件。

1. 黑客通过RDP(远程桌面端点)进入

Huntress Lab的联合创始人兼首席执行官Kyle Hanslovan表示,黑客通过暴露的RDP(远程桌面端点),受损系统内的特权升级以及手动卸载的AV产品(如ESET和Webroot)入侵托管服务提供商。

在攻击的下一阶段,黑客搜索Webroot SecureAnywhere的帐户,这是托管服务供应商用来管理远程工作站(在其客户网络中)的远程管理软件(控制台)。然后,黑客使用控制台在远程工作站上执行Powershell脚本,下载并安装Sodinokibi勒索软件的脚本。

到目前为止,至少有三个托管服务供应商以这种方式被黑客入侵。一些Reddit用户还报告说,黑客可能也使用了Kaseya VSA远程管理控制台,但这一点还未得到研究人员的证实。

三家供应商中有两家公司只有运行Webroot的主机被感染,考虑到Webroot的管理控制台允许管理员远程下载和执行文件到端点,这是一个看似合理的攻击媒介。

2. WEBROOT为SECUREANYWHERE帐户部署2FA(双因素身份认证)

根据Hanslovan收到的一封电子邮件,Webroot开始强制为SecureAnywhere帐户启用双因素身份认证,希望防止黑客利用任何其他可能被劫持的帐户部署新的勒索软件。

SecureAnywhere支持2FA,但在默认情况下不启用该功能。

攻击托管服务供应商,分发勒索软件的攻击活动死灰复燃

Sodinokibi勒索软件是一种相对较新的勒索软件,于4月下旬发现。当时,威胁行为者正在使用Oracle WebLogic 0-day攻击公司网络并部署勒索软件。Sodinokibi勒索软件可以加密受感染系统上的数据并删除副本备份。

现在针对托管服务供应商的攻击是第二次攻击浪潮,第一次攻击时黑客组织利用常用MSP工具中的漏洞在客户的工作站上部署GandCrab勒索软件。巧合的是,第一次攻击被报道出来时,罗马尼亚当地媒体报道说,该国首都布加勒斯特有五家医院感染了GandCrab勒索软件。但是,没有证据表明这两个事件之间没有联系。

对托管服务供应商的攻击越来越令人担忧。一些由国家赞助的威胁组织已开始以托管服务供应商为目标,并试图进入其客户网络。APT10是针对托管服务供应商的最着名的组织之一,在过去几年中,该组织一直在进行一项名为Cloud Hopper的网络间谍活动,通过攻击托管服务供应商来窃取银行、制造业、电子产品和其他许多行业的组织数据。

2018年10月,美国国土安全部发布了题为《利用托管服务提供商的高级持续性威胁活动》的警报,讨论了不良行为者如何针对MSP获取其客户网络的访问权限。

【免责声明】本站内容转载自互联网,其相关言论仅代表作者个人观点绝非权威,不代表本站立场。如您发现内容存在版权问题,请提交相关链接至邮箱:bqsm@foxmail.com,我们将及时予以处理。

网友评论
推荐文章