攻击托管服务供应商，分发勒索软件的攻击活动死灰复燃

本年2月中旬，为了在一次进攻中大局限传染客户，打单软件分发者此刻已经开始针对托管处事供给商(MSP)。其时的陈诉表现，多个MSP遭到黑客进攻，导致数百个客户传染了GandCrab打单软件。

此刻，这种进攻方法又死灰复燃了，到今朝为止，打单软件团伙已经粉碎了至少三家托管处事供给商(MSP)的基本办法，并行使长途打点器材，即Webroot SecureAnywhere节制台，在托管处事供给商的客户体系上陈设打单软件。

进攻细节今朝还不足具体，变乱的影响范畴以及相干托管处事供给商的信息也还没有。但按照今朝发明的信息，进攻者也许以某种方法得到了托管处事供给商的两个长途打点器材——一个来自Webroot，另一个来自Kaseya——来分发打单软件。

1. 黑客通过RDP(长途桌面端点)进入

Huntress Lab的连系首创人兼首席执行官Kyle Hanslovan暗示，黑客通过袒露的RDP(长途桌面端点)，受损体系内的特权进级以及手动卸载的AV产物(如ESET和Webroot)入侵托管处事提供商。

在进攻的下一阶段，黑客搜刮Webroot SecureAnywhere的帐户，这是托管处事供给商用来打点长途事变站(在其客户收集中)的长途打点软件(节制台)。然后，黑客行使节制台在长途事变站上执行Powershell剧本，下载并安装Sodinokibi打单软件的剧本。

到今朝为止，至少有三个托管处事供给商以这种方法被黑客入侵。一些Reddit用户还陈诉说，黑客也许也行使了Kaseya VSA长途打点节制台，但这一点还未获得研究职员的证实。

三家供给商中有两家公司只有运行Webroot的主机被传染，思量到Webroot的打点节制台应承打点员长途下载和执行文件到端点，这是一个看似公道的进攻前言。

2. WEBROOT为SECUREANYWHERE帐户陈设2FA(双身分身份认证)

按照Hanslovan收到的一封电子邮件，Webroot开始逼迫为SecureAnywhere帐户启用双身分身份认证，但愿防备黑客操作任何其他也许被挟制的帐户陈设新的打单软件。

SecureAnywhere支持2FA，但在默认环境下不启用该成果。

Sodinokibi打单软件是一种相对较新的打单软件，于4月下旬发明。其时，威胁举动者正在行使Oracle WebLogic 0-day进攻公司收集并陈设打单软件。Sodinokibi打单软件可以加密受传染体系上的数据并删除副本备份。

此刻针对托管处事供给商的进攻是第二次进攻海潮，第一次进攻时黑客组织操作常用MSP器材中的裂痕在客户的事变站上陈设GandCrab打单软件。偶合的是，第一次进攻被报道出来时，罗马尼亚内地媒体报道说，该国都城布加勒斯特有五家医院传染了GandCrab打单软件。可是，没有证据表白这两个变乱之间没有接洽。

对托管处事供给商的进攻越来越令人忧虑。一些由国度赞助的威胁组织已开始以托管处事供给商为方针，并试图进入其客户收集。APT10是针对托管处事供给商的最闻名的组织之一，在已往几年中，该组织一向在举办一项名为Cloud Hopper的收集特工勾当，通过进攻托管处事供给商来窃取银行、制造业、电子产物和其他很多行业的组织数据。

2018年10月，美国疆域安详部宣布了题为《操作托管处事提供商的高级一连性威胁勾当》的警报，接头了不良举动者怎样针对MSP获取其客户收集的会见权限。

（编辑：河北网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!