Sophos 副總裁暨資安長 Ross McKerchar 表示:
「這是 Sophos 所見過影響最深遠的犯罪刑勒索軟體攻擊之一。到目前為止,我們發現的證據表明,有 70 多家託管服務供應商受到影響,導致全球 350 多家企業受害。我們預計受害組織的範圍將高於任何單一安全廠商所回報的範圍。受害者遍布世界各地,其中大多數在美國、德國和加拿大,其他在澳洲、英國和其他地區。」
Sophos 工程總監 Mark Loman 表示:
「Sophos 正在積極調查這一起對 Kaseya 的攻擊,我們將其視為供應鏈攻擊。對手鎖定託管服務供應商 (MSP) 作為散佈惡意軟體的管道,以盡可能攻擊越多的企業而不管其規模或行業類型為何。這是我們剛開始看到的一種模式,攻擊者不斷地改變手法以獲得最大的成果,無論是為了牟利、竊取資料憑證和日後可以利用的其他特殊資訊。過去我們在看到的其他大規模攻擊中 (例如 WannaCry),勒索軟體本身就是分發者──但在本次情況中,被 IT 部門廣泛使用的 MSP 成了散佈惡意軟體的管道。
「部分得手的勒索軟體攻擊者已經獲得了數百萬美元的贖金,足以讓他們買得起非常昂貴的零時差漏洞利用攻擊。我們通常認為這些漏洞利用攻擊只有民族國家這種規模才能發動。『民族國家型攻擊者』很少將這些攻擊用在特定的單一攻擊中,不過一旦它們落入一般的網路犯罪分子之手,只要一次鎖定全球平台中漏洞的攻擊就可能會同時破壞許多企業,並影響我們的日常生活。
「攻擊發生一天後,更明顯的是,REvil 勒索軟體即服務 (RaaS) 的一個相關威脅就利用了這個零時差漏洞,透過 Kaseya 的虛擬系統管理員 (VSA) 軟體散佈勒索軟體。通常,該軟體是一個高度受信任的通訊管道,允許 MSP 以無限制的特殊權限使用,以幫助許多企業管理其 IT 環境。」
根據 Sophos 威脅情報,REvil 在最近幾週一直非常活躍,包括對 JBS 的攻擊,並在 Sophos 防禦的託管型威脅回應案例中佔有重要角色。