黑客瞄准MSP发起供应链勒索软件攻击

企业正在被网络犯罪分子渗透，他们正在积极利用弱账户凭证来访问托管服务提供商(MSP)安装的系统并发起勒索软件攻击。据Reddit报道，黑客通过至少两家公司Webroot和Kaseya提供的远程监控和管理工具来定位客户，以便部署Sodinokibi恶意软件。

安全公司Huntress Labs进一步调查发现，通过利用远程桌面协议(RDP)进行初始访问，MSP成为勒索软件的目标。在两次事件中，获得管理员权限后，攻击者随后卸载了Webroot和ESET软件，以及基于端点的备份Veeam。

在另一份报告中，该公司发现Webroot的管理控制台用于执行基于PowerShell的有效负载以下载其他恶意软件。Kaseya的VSA也被用来在一个单独的事件中提供Sodinokibi。

事件的规模尚不完全清楚，但Huntress Labs认为它可能会影响成千上万的客户。受影响的MSP尚未公开发布，正在向Huntress Lab首席执行官提供技术支持。

最初创建关于这些报告的线索的UBX Cloud将这种情况描述为“精神错乱”，并建议几位Kaseya客户根据电话会议受到影响。

Webroot和Kaseya都证实他们的一部分客户已经被威胁演员渗透，并指出了不一致和松懈的密码管理。他们自己产品的完整性显然没有受到影响。

“我们都知道双因素身份验证(2FA)是网络卫生的最佳实践，我们鼓励客户使用Webroot管理控制台的内置2FA一段时间，”Webroot的产品高级副总裁Chad Bacher说道。 reddit的。

“最近，Webroot的高级恶意软件清除团队发现，少数客户受到威胁行为者的影响，他们利用客户关于身份验证和RDP的弱网络卫生做法。”

因此，该公司决定为使用其工具的用户启动控制台注销，并发布一个软件更新，默认情况下在所有客户端上启用2FA。

Kaseya首席技术官John Durant告诉Dark Reading，“我们意识到客户被威胁行为者作为目标的有限情况，他们利用受到破坏的凭证来获取对特权资源的未授权访问权。”

“我们处理的所有可用证据都表明使用了受损的凭证。”

此类供应链网络攻击者的崛起此前曾被国家网络安全中心(NCSC)去年发布的报告所标记。2017年有大量MSP受到攻击，报告表明，如果做得好，这些妥协是非常困难的，有时甚至无法检测到。