为了在一次攻击中大规模感染客户，勒索软件分发者现在已经开始针对托管服务供应商（MSP）。最近的报告显示，最近有多个MSP遭到黑客攻击，导致数百个客户感染了GandCrab勒索软件。

随着勒索软件越来越难以通过垃圾邮件进行大规模分发，攻击者想出了很多有创意的方法来感染受害者。这包括入侵RDP、租用僵尸网络运营商的服务以及现在的攻击MSP。

托管服务提供商（MSP）是为客户提供远程管理、IT基础架构支持和技术支持的公司。MSP的好处是它们可以监控客户的网络，并主动解决发现的问题。

但是，MSP需要利用允许他们远程访问客户网络和计算机的软件才能执行此类操作、发布更新、安装应用程序或修复应用程序。勒索软件分发者现在开始利用这种模式攻击MSP，然后利用后端向所有MSP的客户分发勒索软件和其他恶意软件。

在MSP Reddit频道最近发布的一篇文章中，用户报告说黑客攻击本地MSP后分发GandCrab勒索软件。

勒索软件修复公司Coveware的首席执行官Bill Siegel表示，他们采访的MSP也遭到了攻击，而且这个MSP的客户中有15％已经被安装了GandCrab。

根据安全咨询公司HuntressLabs的说法，攻击者可以通过一个漏洞来访问 MSP，这个漏洞用于链接MSP常用的两个用于管理客户端并执行远程管理的软件产品。

已被利用的旧漏洞

MSP用于管理客户端的常用产品是ConnectWise和Kaseya。ConnectWise通常用作客户关系管理器和票务系统，Kaseya用于在MSP管理的端点上执行远程管理。

一年多以前，Alex Wilson披露了ManagedITSync中的一个漏洞和概念验证错误（ManagedITSync是一个集成ConnectWise与Kaseya的插件）。攻击者可利用此漏洞在Kaseya中执行各种命令，包括重置管理员密码。

根据MSP安全公司Huntress Labs在LinkedIn中发布的帖子，勒索软件分发者正在利用此漏洞攻击MSP。

Huntress Labs在LinkedIn中发布的帖子

一旦攻击者获得对Kaseya服务器的访问权限，他们就可以发布在Kaseya管理的所有端点上安装程序的命令。在此次攻击中，Huntress Labs声称所有终点都已感染GandCrab。

ConnectWise发布了一份通报，表明MSP应升级到此插件的最新版本并删除旧连接器，尤其是ManagedIT.asmx文件。他们还发布了一个工具，该工具可以让客户扫描他们的服务器以查找易受攻击的插件。

检查易受攻击插件的工具

如何检查自己是否容易受到攻击？

用户可以检查“添加或删除程序”中是否安装了ConnectWise MSP Kaseya Web服务程序；也可以检查VSA服务器上是否安装了ManagedIT.asmx文件；最后还可以通过浏览https://mykaseyaserver.com/kaseyacwwebservice/managedit.asmx来访问易受攻击的页面。

如果易受攻击该怎么办？

应该做的第一件事是立即断开VSA服务器与互联网的连接，直到确定它尚未被感染。虽然研究人员本周发现的攻击立即分发了勒索软件，但其他攻击者完全有可能知道这个漏洞并且可能已经在您的系统中占有一席之地。断开VSA服务器将至少阻止攻击者在检查期间分发勒索软件。

然后，彻底检查您的VSA服务器以及其他任何关键基础架构是否存在可疑/恶意的地方或可疑帐户等。

最后，在将VSA服务器重新连接到Internet之前，删除ManagedITSync集成并将其更新到最新版本。

国土安全部发布有关攻击MSP的警告

2018年10月，美国国土安全部发布了题为《利用托管服务提供商的高级持续性威胁活动》的警报，讨论了不良行为者如何针对MSP获取其客户网络的访问权限。

虽然没有证据表明目前的勒索软件攻击与DHS警报有关，但它确实表明攻击MSP为攻击者提供了新思路。