外媒报道：黑客使用Kaseya远程IT管理软件攻击电脑系统

周末假期，勒索软件攻击者使用 Kaseya——一个旨在帮助远程管理 IT 服务的软件平台，来控制其他人的系统。

Sophos董事兼道德黑客Mark Loman在今天早些时候发布了关于这次攻击的推文，现在有报道称受影响的系统需要 44,999 美元才能解锁。

Kaseya 网站上的一条说明，请客户暂时关闭他们的 VSA 服务器，因为攻击者做的第一件事就是关闭对 VSA 的管理访问。

如果您使用 Kaseya VSA，请立即关闭它，直到被告知重新激活并启动 IR，这是二进制文件。

根据Bleeping Computer的一份报告，该攻击针对 6 个大型 MSP，并为多达 200 家公司加密了数据。

在DoublePulsar 上，Kevin Beaumont 发布了有关攻击似乎如何运作等更多细节，REvil 勒索软件通过 Kaseya 更新到达并使用平台的管理权限来感染系统。

一旦托管服务提供商被感染，他们的系统就可以为其提供远程 IT 服务（网络管理、系统更新和备份等）。

在一份声明中，Kaseya 告诉The Verge，我们正在调查对 VSA 的潜在攻击，该攻击表明仅限于我们的少数本地客户。一份通知声称其所有云服务器现在都处于“维护模式”，发言人表示，由于“非常谨慎”，采取了这一举措。

周五晚间，Kaseya 首席执行官 Fred Voccola 发表声明称，他们估计受影响的 MSP 数量不到 40，并正在准备补丁的形式修补该漏洞。

今天的攻击与臭名昭著的 REvil 勒索软件团伙有关（今年对宏碁和供应商 JBS 发动过攻击），并且记录指出，以多个名称收集事件，这可能是 Kaseya 软件第三次成为他们攻击的载体。

从 2021 年 7 月 2 日星期五中午（美国东部标准时间）左右开始，Kaseya 的事件响应团队了解到涉及我们的 VSA 软件的潜在安全事件。

我们迅速采取行动保护我们的客户，让他们立即关闭我们的 SaaS 服务器作为预防措施，即使我们没有收到任何 SaaS 或托管客户的任何入侵报告。

立即通过电子邮件、产品内通知和电话通知我们的本地客户关闭他们的 VSA 服务器，以防止他们受到损害。

然后，我们按照既定的事件响应流程来确定事件的范围以及我们的客户受到影响的程度。

我们聘请了内部事件响应团队和领先的行业专家进行调查，以帮助我们确定问题的根本原因。

我们通知了执法部门和政府网络安全机构，包括 FBI 和 CISA。

虽然我们的早期指标表明只有极少数本地客户受到影响，但我们在关闭 SaaS 服务器时采取了保守的方法，以确保我们尽最大努力保护我们的 36,000 多名客户。我们收到了客户对我们快速主动响应的积极反馈。

虽然我们的调查正在进行中，但迄今为止，我们认为，我们的 SaaS 客户从未面临风险。

如果我们确认他们没有风险，我们预计将在接下来的 24 小时内恢复对这些客户的服务。

我们的客户中只有很小一部分受到影响——目前估计全球不到 40 人。

我们相信我们已经确定了漏洞的来源，并正在为我们的本地客户准备一个补丁来缓解它，并将进行彻底的测试。我们将尽快发布该补丁，以使我们的客户恢复正常运行。

我很自豪地说，我们的团队制定了一个计划，可以立即采取行动并在今天完美地执行了该计划。

我们从绝大多数客户那里听说他们根本没有遇到任何问题，我感谢我们的内部团队、外部专家和行业合作伙伴，他们与我们一起工作，迅速取得了成功。

今天的行动证明了Kaseya的承诺，即把我们的客户放在第一位，并为我们的产品提供最高水平的支持。