Managed hosting door True

Massale ransomware-aanval via Kaseya

Russische bende eist 70 miljoen aan losgeld

 

Een wereldwijde ransomware-aanval die tot meest ingrijpende in zijn soort behoort, heeft al meer dan duizend bedrijven getroffen. Via een zwakte in Kaseya-software voor het beheer van systemen zijn Russische hackers bij talrijke nietsvermoedende klanten van managed service providers binnengekomen. Ook in Nederland zijn slachtoffers gemaakt. De Russische bende Revil eist een bedrag van zeventig miljoen dollar aan losgeld in ruil voor een universele sleutel.

Volgens Nos.nl zouden de hackers voor een bedrag van zeventig miljoen dollar aan cryptomunten bereid zijn een universele sleutel vrij te geven, zodat iedereen zijn bestanden terug kan krijgen.

Net als bij de SolarWinds-aanval zijn de aanvallers via een leveranciersketen binnengekomen. De Russische cyberbende Revil gebruikte een kwetsbaarheid in een de bij it-dienstenleveranciers populaire tool. Gevaar lopen klanten die een zogenaamde VSA-agent op hun beheerde systemen hebben geïnstalleerd. Een deel van de on-premise klanten heeft schade opgelopen. Aan hen wordt losgeld gevraagd. Anders dan bij de SolarWinds-aanval gaat het de hackers uitsluitend om financieel gewin en niet om cyberspionage.

Een groep Nederlandse onderzoekers van het Dutch Institute for Vulnerability Disclosure (DIVD) heeft de afgelopen maanden geprobeerd samen met de Amerikaanse fabrikant Kaseya de lekken in de software te dichten. Ze waren daar bijna klaar mee, maar Russische bende was hen net voor.

De bekende ethische hacker Victor Gevers meldt teleurgesteld in een tweet dat hun actie helaas tevergeefs is geweest. Volgens hem heeft de aanval zo’n grote schaal dat het wel eens kan uitgroeien tot de grootste ransomware-actie uit de geschiedenis.

Geen blaam

Volgens het securitybedrijf Eset heeft de 'supply chain'-aanval een groot aantal landen getroffen. In het Verenigd Koninkrijk, Zuid-Afrika, Canada, Duitsland, de Verenigde Staten en Colombia zijn veel bedrijven de dupe geworden. In Zweden moest de supermarktketen Coop zaterdag alle achthonderd winkels sluiten omdat de kassa’s niet meer werkten. In Nederland behoort Hoppenbrouwers Techniek tot de slachtoffers. Volgens deze technisch dienstverlener treft het eigen personeel geen blaam. De aanval kwam via de Kaseya-software binnen zonder dat iemand daar iets aan kon doen. 

Veel problemen veroorzaakte de aanval bij VelzArt uit Waardenburg (Gelderland). Deze it-dienstverlener voor het midden- en kleinbedrijf bedient via de VSA-software van Kaseya honderden klanten. Nog niet bekend is hoeveel klanten via de aanval zijn besmet. Het beeld is vrij diffuus. De hackers wisten sommige systemen volledig ontoegankelijk te maken, terwijl andere systemen nog wel werken. Zondagavond meldde VelzArt de hele nacht door te werken om zo veel mogelijk servers die onder zijn beheer staan, weer aan de praat te krijgen. Ook werkstations werden besmet. Daar waar mogelijk worden werkstations geschoond van ransomware.

Uitschakelen

"Netwerkproducten vertonen structurele zwakheden"

Het eerdergenoemde DIVD meldde zondagmiddag dat er in Nederland geen Kaseya VSA-servers meer met internet zijn verbonden. Sinds vrijdagavond de aanval bekend werd, zijn ze allemaal ontkoppeld. 
Kaseya werkt aan een patch waarmee de VSA-servers weer zijn aan te zetten. Daarnaast heeft het softwarebedrijf een detection tool ontwikkeld waarmee bedrijven kunnen nagaan of er sporen van misbruik zijn van de kwetsbaarheid in hun omgeving.

Het NCSC in Den Haag adviseerde beheerders van Kaseya VSA-servers om alle on-premise VSA-servers voorlopig uit te schakelen. Kaseya houdt voorlopig ook de saas-servers offline.

Het Dutch Institute for Vulnerability Disclosure (DIVD) doet al langer een breed onderzoek naar kwetsbaarheden in tools voor systeembeheer, met name de administratieve interfaces van deze applicaties. Victor Gevers noemt als voorbeelden producten zoals Vembu BDR, Pulse VPN en Fortinet VPN. Hij zegt: ‘We richten ons op dit soort producten omdat we een trend zagen waarbij steeds meer producten die worden gebruikt om netwerken veilig en beveiligd te houden, structurele zwakheden vertonen.’

Barracuda meldt dat voor deze aanval ook misbruik is gemaakt van een aantal Nederlandse domeinnamen. Het gaat om onschuldig klinkende domeinnamen, zoals ‘koken-voor-debaby.nl’ of ‘lachofikschiet.nl’, die door url-filters niet als potentieel risicovol worden gezien. Deze domeinnamen worden gebruikt voor het draaien van command & control-servers. De eigenaren van de meeste van deze domeinen zijn inmiddels op de hoogte gebracht.

Dit artikel is afkomstig van Channelweb.nl (https://www.channelweb.nl/artikel/7210136). © Jaarbeurs IT Media.

?


Lees ook


 

Jouw reactie


Je bent niet ingelogd. Je kunt als gast reageren, maar dan wordt je reactie pas zichtbaar na goedkeuring door de redactie. Om je reactie direct geplaatst te krijgen, moet je eerst rechtsboven inloggen of je registreren

Je naam ontbreekt
Je e-mailadres ontbreekt
Je reactie ontbreekt
Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste resellernieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.