文章来源:红数位
显然,关注我们的用户都知道了这次事件,REvil勒索软件团伙上周对MSP及其客户的攻击本来应该是成功的,但REvil的典型策略和程序发生了变化,导致赎金回报很少。
当勒索软件团伙发起攻击时,他们通常会破坏网络并在最终加密受害者的设备之前花时间窃取数据和删除备份。当受害者看到被盗数据的证据、备份被删除并且他们的设备被加密时,这会为他们支付赎金以恢复他们的数据并防止数据泄露产生更强烈的动机。
然而,负责这次攻击的REvil附属公司显然选择放弃标准策略和程序。相反,他们使用本地Kaseya的VSA服务器中的零日漏洞来执行大规模和广泛的攻击而无需实际访问受害者的网络。这种策略导致了历史上最严重的勒索软件攻击,大约有1500家个体企业被加密在一次攻击中。
虽然目前我们知道有两家公司支付了赎金来获得解密器,但总的来说,这次攻击可能不像REvil团伙预期的那样成功。
原因很简单,这次勒索攻击并没有删除受害者备份,且没有盗取数据并挂在暗网上,因此这次海啸级勒索行动对受害者几乎没有影响力。
一名受害者在Kaseya袭击中支付了220000美元的赎金
熟悉这些攻击和目标MSP的网络安全研究人员透露,受害者很幸运,他们以这种方式受到攻击,因为威胁行为者无法定期不受限制地访问网络,并被迫使用自动删除备份的方法。
例如,Emsisoft首席技术官Fabian Wosar提取了攻击中使用的REvil勒索软件样本的配置,它表明REvil附属公司进行了初步尝试,删除包含字符串“备份”的文件夹中的文件。
REvil勒索软件配置片段
然而,这种方法似乎并不成功,因为MSP和在攻击期间加密的多个受害者宣称,他们的备份没有受到影响,他们选择恢复而不是支付赎金。
勒索软件谈判公司Coveware的首席执行官比尔·西格尔( Bill Siegel)说,对于许多其他攻击受害者来说,这是一个潜在的决定,因为他们的客户中没有一个必须支付赎金。
“在Kaseya攻击中,他们选择通过将软件作为目标而不是直接进入 MSP 网络来尝试影响每个Kaseya客户端。通过实现如此广泛的影响,他们似乎牺牲了在MSP控制处加密/擦除备份的步骤。”西格尔说。
“这最终可能是一种节省的恩典,即使对于为客户提供糟糕分段备份的MSP也是如此。”“虽然Sodin能够利用这个漏洞确实令人印象深刻,但我们还没有看到通常在一次MSP攻击之后的破坏程度,其中备份被有意擦除或加密,并且没有其他方法可以在没有支付赎金。”“中断仍然很严重,但无法从备份中恢复的加密数据最终可能会变得很少。这将转化为支付赎金的最低需求。”
“受影响的MSP将在恢复客户的过程中被拉长一段时间,但到目前为止,我们所分管的客户都不需要支付赎金。我相信有一些受害者需要支付赎金,但是这可能会更糟。”
那些最终支付赎金的受害者可能只会这样做,因为他们的备份能力很差或者没有备份,无法从中恢复。因此事情真的如前两天某位用户评论的一样:“建议加上保障健全的备份机制,业务快速恢复手段。”
我们很少写一篇关于勒索软件的正面报道,虽然许多公司度过了充满压力和破坏性的一周,但大多数受害者似乎应该能够很快恢复正常运行:)正义似乎这次终于降临了,祝好运!
多一个点在看
多一条小鱼干