来自乌克兰的男子被指控造成 Kaseya 供应链袭击

联邦检察官引渡了两名涉嫌勒索软件运营商，其中包括一名他们称其对一次入侵多达 1,500 个组织的入侵负责的人，这使其成为有史以来最严重的供应链攻击之一。

22 岁的雅罗斯拉夫·瓦辛斯基 (Yaroslav Vasinskyi) 于去年 8 月从他的祖国乌克兰进入波兰时被捕。本周，他被引渡到美国，面临最高 115 年监禁的指控。瓦辛斯基于 3 月 3 日抵达德克萨斯州达拉斯，并于周三被传讯。

首先：Sodinokibi/REvil

检察官在起诉书中说，Vasinskyi 应对2021 年 7 月 2 日的攻击负责，该攻击首先袭击了远程管理软件销售商 Kaseya，然后导致其基础设施感染了 800 到 1500 个依赖 Kaseya 软件的组织。据称，Vasinskyi 与之合作或合作的勒索软件组织 Sodinokibi/REvil 要求提供 7000 万美元用于恢复所有受害者数据的通用解密器。

Kaseya 供应链攻击中使用的策略、技术和程序令人印象深刻。该攻击首先利用了 Kaseya 的 VSA 远程管理服务中的一个零日漏洞，该公司称该服务已被 35,000 名客户使用。该组织窃取了一个合法的软件签名证书，并用它对恶意软件进行数字签名，从而更容易抑制安装时会出现的安全警告。

为了进一步增加隐蔽性，攻击者使用了一种称为 DLL 侧载的技术，该技术将欺骗的恶意 DLL 文件放置在 Windows 的 WinSxS 目录中，以便操作系统加载欺骗而不是合法文件。Kaseya 活动中的黑客删除了一个过时的文件版本，该版本仍然容易受到“msmpeng.exe”的侧载，该文件是 Windows Defender 可执行文件的文件。

联邦检察官称，Vasinskyi 导致在 Kaseya 的软件构建系统中部署恶意 Sodinokibi/REvil 代码，以进一步将 REvil 勒索软件部署到客户网络的端点。Vasinskyi 被控共谋实施与计算机有关的欺诈和相关活动、损坏受保护的计算机以及共谋洗钱。

还记得 NetWalker 吗？

周四，美国检察官报告了第二起与勒索软件相关的引渡案，这次引渡案针对的是一名加拿大男子，他被指控参与了数十次推动 NetWalker 勒索软件的攻击。

Sebastien Vachon-Desjardins，34 岁，来自加拿大魁北克省 Gatineau，于 2021 年 1 月被捕，罪名是他从 NetWalker 获得了超过 2700 万美元的收入。司法部表示，被告现已被转移到美国，他的案件正在由联邦调查局在坦帕的外地办事处处理。

NetWalker 是一个先进且多产的组织，在 RaaS（“勒索软件即服务”的缩写）模式下运作，这意味着核心成员招募附属机构使用 NetWalker 恶意软件感染目标。然后，附属公司将分配与该组织产生的任何收入。区块链分析显示，在 2020 年 3 月至 7 月期间，该集团共敲诈了 2500 万美元。受害者包括德克萨斯州的交通机构 Trinity Metro，每年提供 800 万次乘客出行，以及最终支付114 万美元赎金的加州大学旧金山分校 。

NetWalker 是一项人工操作，这意味着操作员通常要花费数天、数周甚至数月的时间在目标组织内建立立足点。2021 年 1 月，保加利亚当局在暗网上查获了NetWalker 勒索软件附属机构用来与受害者交流的一个网站。此次扣押是针对 NetWalker 的国际协调打击行动的一部分。

Vachon-Desjardins 被控共谋实施计算机欺诈和电汇欺诈、故意损坏受保护计算机，以及传送与损坏受保护计算机有关的要求。区块链分析公司表示，其追踪的交易表明，这名加拿大男子还帮助推动了 RaaS 菌株 Sodinokibi、Suncrypt 和 Ragnarlocker。

本周的引渡是执法当局最近几周取得的一系列成功的一部分。去年 6 月，联邦调查局表示，它 查获了支付给勒索软件攻击者的 230 万美元，这些攻击者在一个月前使 Colonial Pipeline 网络瘫痪，并引发了东海岸上下的汽油和航空燃料供应中断。入侵背后的勒索软件组织 Darkside 的网站也在同一时间关闭。