REvil供应链攻击

【发布时间：2021-12-30】

活跃勒索组织REvil再现身影，利用供应链攻击影响大量用户

美国东部时间2021年7月2日，MSP（Managed Service Provider, 管理服务提供商）解决方案提供商Kaseya的VSA远程管理和监控产品遭受勒索组织REvil 0day漏洞攻击，并被利用向其客户推送恶意的软件更新。瑞典最大连锁超市Coop的供应商Visma Esscom受到这次攻击的影响，致使Coop连锁超市收银系统故障，被迫关闭了约500家门店。

1.事件经过

Kaseya发布消息，此次攻击事件发生于当地时间7月2日的下午2点钟左右。攻击发生时，该漏洞已经在被修复的过程中。事件发生后，Kaseya积极采取了措施，关闭了SaaS服务器并试图将恶意软件从自己的系统当中清除出去；另外Kaseya还通知客户关闭他们自己的VSA服务器，防止此次事件的蔓延，目前，已经向客户提供检测工具。Kaseya不断更新此次事件进展，但是，该事件还是对大量客户造成了影响。

Kaseya正与安全厂商和相关部门合作调查此次事件。有安全人员消息称，REvil侵入Kaseya VSA服务器后，发起了供应链攻击，向MSP服务器推送恶意更新，并且致使MSP下游用户感染恶意软件。Coop连锁超市的供应商Visma Esscom因为受到了此次供应链攻击事件的影响，支持的收银系统无法提供正常服务，致使Coop连锁超市被迫关闭了大量门店。

REvil在其暗网主页中称，他们在此次事件中影响了超过百万的系统，并要求为其通用解密器支付价值7000万美元的比特币。

2.REvil勒索攻击组织

REvil组织是一个采用双重勒索策略和勒索软件即服务（RaaS）运营模式的恶意勒索组织，在2021年上半年活跃度极高，全球第二大笔记本电脑设计制造商广达、全球最大肉类食品加工厂商 JBS和PC巨头宏碁都曾遭受其勒索攻击，赎金规模普遍超过千万美金，可谓是臭名昭著。对于此勒索组织，新华三安全攻防实验室一直保持高度关注，详见【2021活跃勒索组织追踪】第三期：REvil。

REvil似乎拥有一个精通于研究MSP的附属机构，并长期针对相关公司和软件发起攻击，早在2019年，REvil就曾利用RDP协议攻击MSP系统，并通过该系统推送勒索软件。

3.事件技术分析

REvil通过漏洞入侵Kaseya服务器之后，发动供应链攻击下发勒索软件感染终端客户，整体过程如下：