瑞典雜貨連鎖店Coop,因其收銀機管理商遭受REvil的勒索軟體攻擊,被迫在2021年7月4日關閉其所有800家商店。(圖片來源:Jaggery / CC BY-SA 2.0)
【看中國2021年7月5日訊】(看中國記者成容編譯)有史以來最大的勒索軟體攻擊,已經襲擊了幾乎各大洲多達100萬家公司的IT系統,與俄羅斯有關的黑客REvil,要求用7000萬美元的加密貨幣來修復它。美國總統拜登表示,如果這與俄羅斯總統普京有關,他「將作出回應」。
黑客攻擊的規模和複雜程度「前所未有」
據《每日郵報》7月5日報導,瑞典的雜貨店、紐西蘭的學校和荷蘭的兩家大型IT公司,都是黑客組織REvil的受害者,該組織在攻破美國軟體公司卡西亞(Kaseya)的系統後,於週五(7月2日)發起了攻擊。
卡西亞公司說,只有幾十個客戶直接受到攻擊,但連鎖反應使17個國家的公司受到影響。一位專家說,這次攻擊的規模和複雜程度是「前所未有的」。
REvil是最近入侵肉類加工廠JBS的幕後黑手,該公司支付了1100萬美元的贖金,一直在與個別公司協商最高500萬美元的贖金,但現在說,只要支付7000萬美元就能解鎖所有受影響的網路。
美國總統拜登,上個月曾警告普京總統,對來自俄羅斯的針對美國的黑客組織採取行動,他說聯邦調查局正在調查最新的黑客事件,如果莫斯科被認為是負責任的,他將採取行動。
分析人士說,這次攻擊恰逢7月4日的週末假期,這並不是巧合,因為這時公司會人手不足,應對能力較差。
英國國家網路安全中心(National Cyber Security Centre)的創始人馬丁(Ciaran Martin)告訴BBC第四電臺:「這種全球犯罪的規模和複雜性是罕見的,甚至是前所未有的。這是一個真正嚴重的全球性行動。」
瑞典雜貨連鎖店Coop,因其收銀機管理商遭受REvil的勒索軟體攻擊,被迫在7月4日關閉其所有800家商店,並表示,在其收銀臺受到影響後,5日將繼續關閉。該國的國家鐵路運營商和公共廣播公司SVT也受到了影響。
在德國,一家不願透露姓名的IT服務公司告訴當局,其數千名客戶受到了影響。
據報導,受害者中還有兩家大型荷蘭IT服務公司--VelzArt和Hoppenbrouwer Techniek。
但大多數受害者,被認為是不太可能公開宣布被感染病毒的中小型公司:汽車經銷商、髮廊和會計師事務所等等。
網路安全團隊,5日瘋狂地工作,以阻止有記錄以來最大的一次全球勒索軟體攻擊的影響,關於與俄羅斯有聯繫的團夥,如何入侵其軟體作為渠道的公司的一些細節已經出現。
網路安全研究人員說,臭名昭著的REvil團夥(因在陣亡將士紀念日攻擊後,向肉類加工廠JBS勒索1100萬美元而聞名)的一個分支機構,2日感染了至少17個國家的數千名受害者,主要是通過為多個客戶遠程管理IT基礎設施的公司。
早些時候,聯邦調查局在一份聲明中說,雖然它正在調查這次攻擊,但其規模「可能使我們無法對每個受害者作出單獨回應」。
拜登:若與俄羅斯政府有關將作出回應
副國家安全顧問紐伯格(Anne Neuberger)後來發表聲明說,拜登總統已經「指示政府的全部資源來調查這一事件」,並敦促所有認為自己受到影響的人提醒聯邦調查局。
拜登3日告訴記者,目前還不清楚誰是襲擊美國企業的最新網路安全漏洞的幕後黑手,但他堅持認為,如果這與俄羅斯總統普京有關,他「將作出回應」。
當拜登在密歇根州中央湖的一個櫻桃園裡慶祝7月4日週末的開始時,他說:「我們不確定是誰。最初的想法是它不是俄羅斯政府,但我們還不確定。」
他補充說:「如果它是在俄羅斯知情和/或俄羅斯(應承擔的)後果的情況下發生的,那麼我告訴普京我們會做出回應。」
不到一個月前,拜登向普京施壓,要求他停止向REvil和其他勒索軟體團夥提供安全庇護,這些團夥無休止的勒索攻擊被美國視為國家安全威脅。
美國總統拜登被抨擊為「對普京軟弱無力」,因為他被指對影響美國至少1000家公司的全球網路攻擊反應緩慢,並與俄羅斯黑客有關。
眾議院少數黨領袖麥卡錫(Kevin McCarthy)3日在推特上提到了6月份的新聞,即拜登給俄羅斯總統普京一份禁止網路攻擊的目標清單。
麥卡錫在推特上說:「還記得拜登總統給普京一份應該是網路攻擊禁區的清單嗎?他應該說的是,所有美國目標都是禁區。」他還說:「拜登在犯罪問題上軟弱無力,對普京也是如此。」
受害者大部分是中小企業
網路安全公司Sophos報告說,廣泛的企業和公共機構受到了最新的攻擊,顯然是在各大洲,包括金融服務、旅遊和休閑以及公共部門,儘管很少有大公司。
勒索軟體犯罪份子滲透到網路中,並播下惡意軟體,通過擾亂他們的所有數據而使之癱瘓。受害者在付款後會得到一個解碼器鑰匙。大多數贖金軟體受害者不公開報告攻擊事件,也不透露他們是否支付了贖金。
被入侵的軟體公司卡西亞的首席執行官沃科拉(Fred Voccola)估計,受害者數量在數千家左右,大多數是小型企業,如「牙科診所、建築公司、整形外科中心、圖書館等」。
沃科拉在接受採訪時說,在該公司的37000個客戶中,只有50-60個客戶受到影響。但70%是管理服務提供商,他們使用該公司被黑的VSA軟體來管理多個客戶。它可以自動安裝軟體和安全更新,並管理備份和其它重要任務。
專家們說,REvil在美國國慶節週末開始時發起攻擊,知道美國的辦公室會有少量人員,這不是巧合。許多受害者可能在5日重新上班時才得知。沃科拉說,管理服務提供商的大多數終端用戶「不知道」是誰的軟體讓他們的網路活躍。
卡西亞公司說,它在3日晚上向近900名客戶發送了一個檢測工具。
黑客也無法逐個應對的龐大數量
網路安全公司Recorded Future的分析師利斯卡(Allan Liska)說,REvil提出為卡西亞攻擊的所有受害者提供全面的解密,以換取7000萬美元,這表明REvil無力應對受感染網路的龐大數量。雖然分析家們報告說,看到對更大的目標要求500萬美元和50萬美元,但它顯然對大多數目標要求45000美元。
利斯卡說:「這次攻擊比他們預期的要大得多,它得到了很多關注。迅速結束它符合REvil的利益,這是個管理的惡夢。」
Emsisoft的分析師卡洛(Brett Callow)說,他懷疑REvil希望保險公司能夠計算出數字,並確定這7000萬美元對他們來說比延長停機時間更便宜。
像REvil這樣複雜的勒索軟體團夥,在激活勒索軟體之前,通常會從他們竊取的文件中檢查受害者的財務記錄,如果他們能找到的話,還有保險單。然後,犯罪份子威脅說,如果不付錢,就把偷來的數據扔到網上。在這次攻擊中,這似乎沒有發生。
黑客利用「零日」漏洞攻擊
荷蘭研究人員說,他們提醒總部位於邁阿密的卡西亞公司注意這一漏洞,並說犯罪份子使用了一個「零日」,這是一個行業術語,指的是軟體中以前未知的安全漏洞。沃科拉不願證實這一點,也不願提供漏洞的細節,只是說這不是網路釣魚。他說:「這裡的複雜程度非常高。」
沃科拉說,當網路安全公司Mandiant完成其調查時,他相信調查將顯示,犯罪份子在闖入他的網路時不僅違反了卡西亞代碼,而且還利用了第三方軟體的漏洞。
這並不是第一次利用管理服務提供商的勒索軟體攻擊。2019年,犯罪份子通過一個網路阻礙了22個德克薩斯州市政當局的網路。同年,400家美國牙科診所在一次單獨的攻擊中癱瘓了。
荷蘭漏洞研究人員之一格弗斯(Victor Gevers)說,他的團隊對卡西亞的VSA等產品感到擔憂,因為它們可以提供對龐大計算資源的完全控制。他在4日的博客中寫道:「越來越多的用於保持網路安全的產品正在顯示出結構性的弱點。」
網路安全公司ESET發現,至少有17個國家的受害者,包括英國、南非、加拿大、阿根廷、墨西哥、印度尼西亞、紐西蘭和肯尼亞。
卡西亞說,這次攻擊隻影響了「內部」客戶,即運行自己的數據中心的組織,而不是為客戶運行軟體的基於雲的服務。不過,作為預防措施,它也關閉了這些伺服器。
卡西亞2日呼籲客戶立即關閉他們的VSA伺服器,4日表示,它希望在未來幾天內有一個補丁。
REvil自2019年4月開始活躍,提供勒索軟體即服務(ransomware-as-a-service),這意味著它開發了網路癱瘓軟體,並將其出租給所謂的分支機構,這些分支機構感染目標並賺取大部分贖金。美國官員說,最強大的勒索軟體團夥以俄羅斯和其盟國為基地,在克里姆林宮的容忍下運作,有時與俄羅斯安全部門勾結。
Silverado Policy Accelerator智庫的網路安全專家阿爾佩羅維奇(Dmitri Alperovitch)說,雖然他不相信對卡西亞的攻擊是克里姆林宮導演的,但這表明普京在關閉網路犯罪份子方面「還沒有行動」。