Ransomware-aanval via Kaseya-software: hoe zit het precies?
Afgelopen weekend kwam een nieuwe grootschalige ransomware-aanval aan het licht, waarbij gebruikers van de Kaseya VSA software wereldwijd werden getroffen. Verschillende security-specialisten onderzoeken deze aanval en geven meer uitleg.
Lavi Lazarovitz, Sr. Director of Cyber Research bij CyberArk Labs: “Het aanvalspatroon bij Kaseya VSA lijkt op de Cloud Hopper campagne. Daar had een phishing-aanval op een endpoint impact op honderden bedrijven die gelinkt waren aan getroffen cloud providers. Bij een slachtoffer duurde de aanval minstens vijf jaar! Als deze aanval lijkt op eerdere aanvallen dan moeten we niet vergeten wat voor aanvallers het belangrijkste is: misbruik van netwerk-decentralisatie en connectiviteit. Die zorgen immers voor de schaalbaarheid en impact.”
“Bij het Kaseya-incident speelt bovendien het misbruik van vertrouwde software, processen en relaties een rol. Door deze aan te vallen, wordt juist dat vertrouwen gebruikt om toegangsrechten over te nemen. De eerste communicatie vanuit Kaseya was dan ook om de servers waarop VSA draait zo snel mogelijk uit te zetten, want de eerste stap van een aanvaller zal zijn om de beheertoegang tot VSA af te sluiten. Het monitoren en beschermen van deze beheerrechten of privileged access is cruciaal in het identificeren en tegengaan van ongeoorloofde laterale beweging door het netwerk.”
“Bij een MSP heeft de overname van beheerrechten gelijk grootschalige impact; waarschijnlijk honderden klanten. Toegangsrechten blijven het favoriete wapen van aanvallers en worden in vrijwel alle grote aanvallen gebruikt.”
Records gebroken
Kristof Lossie, Manager Security Engineer Team bij Check Point Security: “2021 heeft al records gebroken qua aantal cyberaanvallen, met een recordtoename van 93 procent ransomware en 97 procent cyberaanvallen in de EMEA in slechts 12 maanden. De ransomware-aanval van afgelopen weekend, waarschijnlijk uitgevoerd door de Russische groep REvil, vertegenwoordigt een catastrofale combinatie van de meest beruchte cyberaanvaltrends van 2021, supply chain-aanvallen en ransomware, met een recordaantal slachtoffers in zowel de VS als Europa."
"REvil is een van de meest prominente hackersgroepen ter wereld, verantwoordelijk voor tientallen grote inbreuken sinds 2019 en opererend vanuit de zogenaamde rol om aanvallen in het CIS te voorkomen. De aanvallers kozen niet voor niets voor dit weekend en deze methode. Ze zochten naar een achterdeur die toegang zou geven tot meer dan duizend bedrijven: één doelwit waarmee ze talloze anderen in een pandemie-achtige keten konden infecteren. Ze kozen daarnaast voor het weekend omdat ze weten dat het IT-personeel van de meeste bedrijven dan offline is of gereduceerd tot een skeletbemanning."
"Dit heeft op verschillende manieren invloed op de dreigingsactoren. Ten eerste zorgt het ervoor dat de ransomware volledig kan worden ingezet voordat iemand het merkt. Daarnaast groeit de paniek als tijdens responsoperaties blijkt dat belangrijke onderdelen in de omgeving van het slachtoffer niet beschikbaar zijn om te reageren, waardoor de kans groter wordt dat er losgeld wordt betaald."
"Gebruikers van Kaseya VSA moeten de software onmiddellijk loskoppelen van het netwerk, hoewel het misschien al te laat is. Mijn advies is om EDR, NDR en andere security monitoring tools te gebruiken om de legitimiteit van nieuwe bestanden in de omgeving sinds 2 juli te verifiëren. Neem contact op met leveranciers van beveiligingsproducten om te controleren of er bescherming is voor REvil-ransomware. En als er hulp nodig is, schakel dan een team van experts in om de situatie in de omgeving te helpen verifiëren."
"Deze aanval zou alle bedrijven, geraakt of niet, moeten alarmeren. Elk onbewaakt ogenblik kan er een aanval plaatsvinden. We verwachten dat er meer aanvallen zullen plaatsvinden tijdens vakanties en weekenden, en omdat werken op afstand het nieuwe normaal wordt, zijn de hackers van vandaag effectiever dan ooit."
