安全動態(tài)

勒索軟件攻擊MSP以大規(guī)模感染客戶

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2019-02-16    瀏覽次數(shù):
 

信息來源:mottoin

為了在一次攻擊中大規(guī)模感染客戶,勒索軟件分發(fā)者現(xiàn)在已經(jīng)開始針對托管服務(wù)供應(yīng)商(MSP)。最近的報告顯示,最近有多個MSP遭到黑客攻擊,導(dǎo)致數(shù)百個客戶感染了GandCrab勒索軟件。

隨著勒索軟件越來越難以通過垃圾郵件進(jìn)行大規(guī)模分發(fā),攻擊者想出了很多有創(chuàng)意的方法來感染受害者。這包括入侵RDP、租用僵尸網(wǎng)絡(luò)運營商的服務(wù)以及現(xiàn)在的攻擊MSP。

托管服務(wù)提供商(MSP)是為客戶提供遠(yuǎn)程管理、IT基礎(chǔ)架構(gòu)支持和技術(shù)支持的公司。MSP的好處是它們可以監(jiān)控客戶的網(wǎng)絡(luò),并主動解決發(fā)現(xiàn)的問題。

但是,MSP需要利用允許他們遠(yuǎn)程訪問客戶網(wǎng)絡(luò)和計算機的軟件才能執(zhí)行此類操作、發(fā)布更新、安裝應(yīng)用程序或修復(fù)應(yīng)用程序。勒索軟件分發(fā)者現(xiàn)在開始利用這種模式攻擊MSP,然后利用后端向所有MSP的客戶分發(fā)勒索軟件和其他惡意軟件。

在MSP Reddit頻道最近發(fā)布的一篇文章中,用戶報告說黑客攻擊本地MSP后分發(fā)GandCrab勒索軟件。

勒索軟件修復(fù)公司Coveware的首席執(zhí)行官Bill Siegel表示,他們采訪的MSP也遭到了攻擊,而且這個MSP的客戶中有15%已經(jīng)被安裝了GandCrab。

根據(jù)安全咨詢公司HuntressLabs的說法,攻擊者可以通過一個漏洞來訪問 MSP,這個漏洞用于鏈接MSP常用的兩個用于管理客戶端并執(zhí)行遠(yuǎn)程管理的軟件產(chǎn)品。

已被利用的舊漏洞

MSP用于管理客戶端的常用產(chǎn)品是ConnectWise和Kaseya。ConnectWise通常用作客戶關(guān)系管理器和票務(wù)系統(tǒng),Kaseya用于在MSP管理的端點上執(zhí)行遠(yuǎn)程管理。

一年多以前,Alex Wilson披露了ManagedITSync中的一個漏洞和概念驗證錯誤(ManagedITSync是一個集成ConnectWise與Kaseya的插件)。攻擊者可利用此漏洞在Kaseya中執(zhí)行各種命令,包括重置管理員密碼。

根據(jù)MSP安全公司Huntress Labs在LinkedIn中發(fā)布的帖子,勒索軟件分發(fā)者正在利用此漏洞攻擊MSP。

Huntress Labs在LinkedIn中發(fā)布的帖子

一旦攻擊者獲得對Kaseya服務(wù)器的訪問權(quán)限,他們就可以發(fā)布在Kaseya管理的所有端點上安裝程序的命令。在此次攻擊中,Huntress Labs聲稱所有終點都已感染GandCrab。

ConnectWise發(fā)布了一份通報,表明MSP應(yīng)升級到此插件的最新版本并刪除舊連接器,尤其是ManagedIT.asmx文件。他們還發(fā)布了一個工具,該工具可以讓客戶掃描他們的服務(wù)器以查找易受攻擊的插件。

檢查易受攻擊插件的工具

如何檢查自己是否容易受到攻擊?

用戶可以檢查“添加或刪除程序”中是否安裝了ConnectWise MSP Kaseya Web服務(wù)程序;也可以檢查VSA服務(wù)器上是否安裝了ManagedIT.asmx文件;最后還可以通過瀏覽https://mykaseyaserver.com/kaseyacwwebservice/managedit.asmx來訪問易受攻擊的頁面。

如果易受攻擊該怎么辦?

應(yīng)該做的第一件事是立即斷開VSA服務(wù)器與互聯(lián)網(wǎng)的連接,直到確定它尚未被感染。雖然研究人員本周發(fā)現(xiàn)的攻擊立即分發(fā)了勒索軟件,但其他攻擊者完全有可能知道這個漏洞并且可能已經(jīng)在您的系統(tǒng)中占有一席之地。斷開VSA服務(wù)器將至少阻止攻擊者在檢查期間分發(fā)勒索軟件。

然后,徹底檢查您的VSA服務(wù)器以及其他任何關(guān)鍵基礎(chǔ)架構(gòu)是否存在可疑/惡意的地方或可疑帳戶等。

最后,在將VSA服務(wù)器重新連接到Internet之前,刪除ManagedITSync集成并將其更新到最新版本。

國土安全部發(fā)布有關(guān)攻擊MSP的警告

2018年10月,美國國土安全部發(fā)布了題為《利用托管服務(wù)提供商的高級持續(xù)性威脅活動》的警報,討論了不良行為者如何針對MSP獲取其客戶網(wǎng)絡(luò)的訪問權(quán)限。

雖然沒有證據(jù)表明目前的勒索軟件攻擊與DHS警報有關(guān),但它確實表明攻擊MSP為攻擊者提供了新思路。

 
 

上一篇:App違規(guī)授權(quán)成重災(zāi)區(qū) 網(wǎng)絡(luò)安全立法醞釀大突破

下一篇:2019年02月16日 聚銘安全速遞