Ransomware misbruikt lek in Kaseya VSA om duizenden bedrijven plat te leggen

ransomware

Afgelopen weekend legde slimme ransomware duizenden bedrijven plat. De Russische groep REvil misbruikte een lek in Kaseya VSA. Het Amerikaanse Kaseya vraagt nu aan alle bedrijven om hun VSA-servers onmiddellijk offline te halen voordat ze worden besmet.

Het Russische hackerscollectief REvil heeft afgelopen weekend zijn grootste aanval ooit uitgevoerd. Het misbruikte een lek in Kaseya VSA om honderden tot duizenden bedrijven tegelijk te besmetten. Kaseya CEO Fred Voccola zegt in een statement dat er een paar duizend bedrijven wereldwijd werden besmet met de malware, voornamelijk kleine kmo’s.

Van het aantal klanten dat rechtstreeks bij Kaseya zit, werden er maar 50 tot 60 van de 37.000 getroffen door de ransomware. Van dat aantal zijn er 70 procent managed services providers of MSP’s. Die gebruiken de gehackte VSA-software van Kaseya om eigen klanten te bedienen. VSA automatiseert onder andere de installatie van software en security updates, het beheer van back-ups en andere cruciale taken.

Het is dankzij die MSP’s dat het aantal slachtoffers exponentieel groter is dan het aantal dat rechtstreeks klant is bij Kaseya. Afgelopen weekend lag onder andere de supermarktketen Coop met honderden Zweedse winkels plat. Dichter bij huis werden het Nederlandse VelzArt en Hoppenbrouwer Techniek getroffen. MSP’s hebben contracten met kmo’s die hun eigen IT-infrastructuur niet zelf willen beheren. Omdat de malware kon infiltreren bij bepaalde MSP’s, werd het aanvalsoppervlak veel groter voor de hackers.

Kaseya VSA

De timing van de aanval is niet toevallig het weekend van de 4th of July, een nationale feestdag in de VS. Tal van Amerikaanse bedrijven sluiten hun deuren of hebben maar een minimumbezetting. Zo kreeg de malware vrij spel om zichzelf te installeren via de on-premises Kaseya VSA-servers bij bedrijven of MSP’s.

De timing van de aanval is niet toevallig het weekend van de 4th of July, een nationale feestdag in de VS.

Extra vervelend voor Kaseya is dat het weinig schuld treft. Het lek werd eerder al ontdekt door Wietse Boonstra, onderzoeker aan het Dutch Institute for Vulnerability Disclosure (DIVD). Hij meldde het lek aan Kaseya, waarna de softwareleverancier direct startte met het onderzoek om een patch uit te rollen.

“We hebben ons best gedaan en Kaseya ook”, zegt Victor Gevers, onderzoeker bij DIVD aan Wired. “Het is een eenvoudig te vinden kwetsbaarheid, denk ik. Dat is waarschijnlijk de reden waarom de aanvallers de sprint uiteindelijk hebben gewonnen.”

De hackers misbruikten het zero-day-lek om een malafide payload naar kwestbare Kaseya VSA-servers uit te rollen. Naast rechtstreekse klanten raakten ze ook binnen bij heel wat klanten van MSP’s die de VSA-agent applicaties draaien op Windows-toestellen. VSA opereert als een traditionele walled garden, waardoor malware-scanners en andere security-tools niet in actie schieten. Hierdoor kregen hackers vrij spel.

70 miljoen dollar losgeld

Eens geïnstalleerd draait de malware een reeks van commando’s om malafide activiteiten te verbergen van Windows Defender. Uiteindelijk forceert het een instructie richting het Kaseya updateproces om een legitieme maar oude versie van de Microsoft ‘Antimalware Service’ te draaien: een onderdeel van Windows Defender. Daarna krijgen hackers vrij spel en kunnen ze malafide code voorbij Windows Defender loodsen. Hiermee kunnen ze de encryptie starten van alle bestanden.

Volgens Gevers is het aantal online VSA-servers dat open beschikbaar was op het internet de afgelopen twee dagen gedaald van 2.200 naar minder dan 140. MSP’s reppen zich om het advies van Kaseya op te volgen om alle servers onmiddellijk offline te halen.

In totaal vraagt het hackerscollectief 70 miljoen dollar om alle versleutelde bestanden vrij te geven. Het vraagt het 45.000 dollar voor elke besmetting. Grotere bedrijven krijgen echter een melding dat ze 500.000 dollar tot soms 5 miljoen dollar moeten betalen in cryptomunten. Bovenstaande bedragen verdubbelen na 10 juli: de deadline om het losgeld te betalen.

Slachtoffers wereldwijd

Het Centrum voor Cybersecurity België (CCB) heeft naar onze bedrijven al een waarschuwing gestuurd. Voorlopig is het nog niet bekend of er Belgische slachtoffers zijn. Volgens securityspecialist ESET worden het merendeel van de incidenten gemeld vanuit de VS, VK, Zuid-Afrika, Canada, Duitsland en Colombië.

Nu REvil ten strijde is getrokken, is Kaseya overgeschakeld naar een versnelde uitvoering van het service herstelplan.

Wat kan je tegen de ransomware-aanval doen? Allereerst is het heel belangrijk om systemen die Kaseya VSA gebruiken onmiddellijk uit te schakelen. Kaseya was voor de aanval met DIVD volop bezig aan een root cause analysis en de mitigatie van de kwetsbaarheid. Nu REvil ten strijde is getrokken, is Kaseya overgeschakeld naar een versnelde uitvoering van het service herstelplan zondagavond. Wanneer de patch klaar zal zijn, is nog niet geweten.

Kristof Lossie, securityspecialist bij Check Point: “Gebruikers van Kaseya VSA moeten de software onmiddellijk loskoppelen van het netwerk, hoewel het misschien al te laat is. Mijn advies is om EDR, NDR en andere security monitoring tools te gebruiken om de legitimiteit van nieuwe bestanden in de omgeving sinds 2 juli te verifiëren. Neem contact op met leveranciers van beveiligingsproducten om te controleren of er bescherming is voor REvil-ransomware. En als er hulp nodig is, schakel dan een team van experts in om de situatie in de omgeving te helpen verifiëren.”

Biden en Putin

REvil is niet aan zijn proefstuk toe. Begin juni dwong het nog wereldwijde vleesleverancier JBS tot het betalen van 11 miljoen dollar aan losgeld na een ransomware-besmetting. De groep zat eerder ook achter andere grote aanvallen bij onder andere FujifilmAcer en Quanta. De enorme sommen losgeld zetten REvil en hun tools steeds meer centraal in de hackerscène. Met deze nieuwe imposante aanval wordt het doelwit op hun rug nog groter. Of de VS een poging zal doen om betaalde sommen terug te winnen, zoals bij Colonial Pipeline begin juni, is voorlopig nog niet bekend.

Het valt ook af te wachten hoe de VS reageert op de aanval. Afgelopen weekend liet Amerikaans president Joe Biden al weten dat de inlichtingendiensten zich in de zaak verdiepen. Tijdens zijn Europese doortocht midden juni zat hij ook met Russisch President Vladimir Putin samen om het stijgend aantal cyberaanvallen vanuit Rusland in de kiem te smoren.

Hij waarschuwde Putin tijdens hun gesprek voor de consequenties indien de aanvallen aanhouden of uitbreiden. Deze nieuwe aanval van het Russische hackerscollectief REvil op de Amerikaanse nationale feestdag zal de relaties tussen beide landen niet bevorderen.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.