Terwijl er nieuws is over de supply chain ransomware-aanval op IT-beheersoftware van Kaseya's, is dit wat we tot nu toe weten
Sinds vrijdag 3 juli heeft een grootschalige computeraanval de servers van Kaseya, een Amerikaans IT-beheerbedrijf, en op zijn beurt veel van zijn klanten over de hele wereld getroffen. Een groep Russische piraten zou erachter zitten.
Net nu we de supply chain-aanval van SolarWinds te boven gekomen
zijn, wordt Kaseya IT-beheersoftware, vaak gebruikt in Managed Service Provider
(MSP)-omgevingen, getroffen door een andere in een reeks supply-chain-hacks. Zoals
bij het SolarWinds-incident, maakt deze laatste aanval gebruik van een
tweestaps malware-leveringsproces dat door de backdoor van technische
omgevingen binnenglijdt. In tegenstelling tot SolarWinds hebben de
cybercriminelen achter deze aanval blijkbaar financieel gewin in plaats van
cyberspionage als doel, en uiteindelijk hebben ze ransomware geplant terwijl ze
de vertrouwensrelatie tussen Kaseya en haar klanten misbruikten.
Researcher in security van ESET volgen deze ransomware, die
algemeen wordt toegeschreven aan de REvil-bende die door de ESET-beveiligingsproducten gedetecteerd werd als Sodinokibi. Onze voorlopige analyse
ondersteunt deze toewijzing.
Kaseya van zijn kant heeft zich gehaast om het incident te
beoordelen en stuurde meldingen naar de mogelijk getroffenen met het advies om
mogelijk getroffen on-premises VSA-servers onmiddellijk uit te schakelen.
Dit advies kwan niet te vroeg. Zodra de server is
geïnfecteerd, sluit de malware de beheerderstoegang af en begint de gegevens te
versleutelen, de voorloper van de volledige ransomware-aanvalscyclus.
Terwijl leveranciers zoals ESET deze malware detecteerden, trad
een vertraging op tussen het ogenblik waarop de servers werden getroffen door
de aanvallen en het ogenblik waarop supportteams
en software konden reageren, zodat de eerste infecties tijd hadden om schade
aan te richten.
Er zijn verschillende plaatsen
waar informatie hierover wordt verspreid, waarr de security-industrie deze in
realtime verzamelt zodat klanten op diverse wijze kunnen geholpen worden.
Alseen bedrijf servers heeft die
mogelijk getroffen zijn, is het van cruciaal belang op de hoogte te blijven van
al het nieuws zodra het kenbaar wordt en mogelijk kwetsbare machines uit te
schakelen of ze op zijn minst te isoleren van het netwerk tot meer informatie
beschikbaar komt. Kaseya plaatst ook regelmatig updates op zijn website.