Vorige week, de REvil ransomware-bende voerde een ongekende supply chain ransomware-aanval uit op klanten van Kaseya's VSAproduct.
update juli 6, 2021:
Ook al beweert de REvil-cyberbende besmet te zijn 1 miljoen systemen met Kaseya-services, federale autoriteiten zeggen dat het aantal geïnfecteerde entiteiten in de duizenden loopt. Ongeveer 1,500 systemen worden verondersteld het slachtoffer te zijn van de aanval. Kaseya zegt ook dat de aanval geen toeleveringsketen is, waardoor de mogelijkheid van toegang tot zijn backend-infrastructuur wordt uitgesloten, maar het is eerder gebaseerd op de CVE-2021-30116 zero-days. De zero-days werden zo benut dat de REvil-ransomware met succes op kwetsbare systemen werd gepusht.
update juli 12, 2021:
Kaseya heeft patches uitgebracht voor de kwetsbaarheden, 10 dagen na de eerste aanval. “Beveiligingsproblemen opgelost met betrekking tot het incident waarnaar hier wordt verwezen en andere updates aangebracht om de algehele beveiliging van het product te verbeteren,” Kaseya zei in zijn adviserend.
Kaseya VSA is virtuele systeem-/serverbeheerderssoftware die de infrastructuur van Kaseya-klanten bewaakt en beheert. Het product kan worden geleverd als een gehoste cloudservice, of via on-premises VSA-servers.
“Het VSA-product van Kaseya is helaas het slachtoffer geworden van een geavanceerde cyberaanval. Vanwege de snelle reactie van onze teams, we zijn van mening dat dit alleen voor een zeer klein aantal lokale klanten is gelokaliseerd,” zei Kaseya in een verklaring. Volgens de adviserende, alle on-premises VSA-servers moeten offline blijven tot verdere instructies van het bedrijf over wanneer het veilig is om de bewerkingen te herstellen.
Hoe voerde de REvil ransomware-bende de Kaseya-aanval uit??
Volgens een update gedeeld door het DIVD CSIRT, het Nederlands Instituut voor Vulnerability Disclosure, de organisatie had Kaseya eerder gewaarschuwd voor verschillende zero-day-kwetsbaarheden, bekend onder de identifier CVE-2021-30116, in de VSA-software:
Wietse Boonstra, een DIVD-onderzoeker, heeft eerder een aantal van de zero-day kwetsbaarheden geïdentificeerd [CVE-2021-30116] die momenteel worden gebruikt bij de ransomware-aanvallen. En ja, we hebben deze kwetsbaarheden aan Kaseya gemeld volgens de richtlijnen voor verantwoorde openbaarmaking (oftewel gecoördineerde openbaarmaking van kwetsbaarheden).
Zodra Kaseya op de hoogte was van onze gerapporteerde kwetsbaarheden, we hebben constant contact en samenwerking met hen gehad. Wanneer items in ons rapport onduidelijk waren, ze stelden de juiste vragen. Ook, gedeeltelijke patches werden met ons gedeeld om hun effectiviteit te valideren. Tijdens het hele proces, Kaseya heeft laten zien dat ze bereid waren om de maximale inspanning en het initiatief in deze zaak te steken, zowel om dit probleem op te lossen als om hun klanten te patchen. Ze toonden oprechte toewijding om het juiste te doen. Helaas, we werden verslagen door REvil in de eindsprint, omdat ze de kwetsbaarheden konden misbruiken voordat klanten zelfs konden patchen, de Nederlandse organisatie zei.
Na de aanslagen, REvil eist nu losgeld voor een bedrag van $70 miljoen. In ruil voor het losgeld, de cybercriminelen beloven een universele decoderingstool te publiceren die alle systemen moet herstellen die door de ransomware zijn beschadigd.
Volgens een bericht dat de REvil-bende heeft gedeeld op hun ondergrondse dataleksite, de aanval op MSP-providers werd gelanceerd in juli 2. De aanval zou meer dan een miljoen systemen hebben geïnfecteerd. "Als iemand wil onderhandelen over universele decryptor - onze prijs is: 70,000,000$ in BTC en we zullen een openbare decryptor publiceren die de bestanden van alle slachtoffers decodeert, zodat iedereen in minder dan een uur kan herstellen van een aanval,” het bericht zei:.
Verwant: Apple gericht door REvil Gang in een $50 Miljoen Ransomware-aanval
Wat moeten de klanten van Kaseya doen??
CISA en de FBI hebben onlangs een advies gepubliceerd:, het aanbevelen van de download van de Kaseya VSA-detectietool dat een systeem analyseert, ofwel VSA-server of beheerd eindpunt, en bepaalt of er aanwijzingen voor een compromis aanwezig zijn.
Andere aanbevelingen zijn onder meer het gebruik van multi-factor authenticatie op elk afzonderlijk account, evenals het afdwingen van MSA voor klantgerichte diensten; de implementatie van toelatingslijsten om de communicatie met mogelijkheden voor bewaking en beheer op afstand te beperken tot bekende IP-adresparen, en het plaatsen van administratieve interfaces naar RMM achter een VPN of een firewall op een speciaal beheerdersnetwerk.
Het is opmerkelijk dat in 2019 de GandCrab ransomware-bende gebruikte een paar jaar oude kwetsbaarheid in een softwarepakket dat wordt gebruikt door externe IT-ondersteuningsbedrijven om voet aan de grond te krijgen op kwetsbare netwerken. De kwetsbaarheid werd misbruikt om toegang te verlenen tot kwetsbare netwerken en de ransomware-payload te verspreiden. De fout in kwestie beïnvloedde de Kaseya-plug-in voor de Connectwise Manage-software, een professioneel serviceautomatiseringsproduct voor IT-ondersteuning.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: