Zij werden onlangs getroffen door een cyberaanval die vermoedelijk werd uitgevoerd door het aan Rusland gelinkte cybercriminele REvil. De aanval infecteerde honderden bedrijven in zeker 17 landen.
Volgens het protocol van ons Intwo Incident Response Plan hebben wij direct de ons bekende contactpersonen op de hoogte gesteld en onmiddellijk alle potentiële risico’s in kaart gebracht. Ons expert team kon al snel bevestigen dat wij geen gebruikmaken van de geïnfecteerde software die bekend staat als Kaseya VSA. Onze klanten zijn dus niet getroffen door deze aanval. Ons team heeft bovendien bevestigd dat onze tools voor beheer op afstand volledig gepatcht en up-to-date zijn. Hierdoor worden potentiële kwetsbaarheden op het gebied van cyberbeveiliging in elk geval al tot een minimum beperkt. Bij Intwo zijn we altijd waakzaam en proactief als het gaat om bescherming en beveiliging. Aarzel daarom niet om contact met ons op te nemen als u vragen heeft over dit of enig ander cyberincident waarmee u mogelijk te maken heeft. Of als u wilt bespreken hoe Intwo u kan helpen met de beste beveiliging voor uw bedrijf.
Op vrijdag werd bij Kaseya de software getroffen voor het onderhoud van de IT en het managen van externe endpoints. Deze software biedt de mogelijkheid om apparaten te monitoren, patching-updates uit te voeren, de beveiliging van de IT-infrastructuur te verbeteren en endpointsystemen op afstand te beheren. Op zaterdagochtend bevestigde Kaseya dat het te maken heeft gehad met een ‘geavanceerde cyberaanval’ op hun VSA-software en tool voor controle op afstand. Het bedrijf meldt dat slechts ca. 40 klanten zijn getroffen. Maar omdat de software van Kaseya ook wordt gebruikt door grote IT-bedrijven met services voor honderden kleinere bedrijven, kon de hack ook kunnen voor duizenden slachtoffers. Op 2 juli gaf het bedrijf het dringende advies aan hun bijna 40.000 klanten om de Kaseya-software direct af te sluiten en ook alle versies van VSA die op hun eigen servers draaiden. Het bedrijf schortte ook de eigen cloud-gebaseerde VSA-dienst op. Het bedrijf voor cyberbeveiliging, Huntress Labs, meldde dat het 20 IT-bedrijven had opgespoord, bekend als Managed Service Providers, die door deze cyberaanval waren getroffen. Het bedrijf ondervond de meest gevreesde tactieken van hackers: Aanvallen op de toeleveringsketen en ransomware. In het eerste geval worden bedrijven aangevallen waarvan de software op grote schaal door andere bedrijven wordt gebruikt. Eenmaal in het systeem van de provider, gebruiken aanvallers dit als een springplank om toegang te krijgen tot de netwerken van hun klanten. De aanvallers installeren vervolgens ransomware, die de gegevens van slachtoffers vergrendelt en geven de gegevens pas vrij als er losgeld wordt betaald, meestal in niet-traceerbare cryptocurrencies. Het is daarbij ook mogelijk dat na betaling de gegevens niet worden vrijgegeven. Daarom raden experts af om hiervoor losgeld te betalen. Door de kettingreactie werden honderden bedrijven getroffen, waaronder een spoorwegmaatschappij en apotheekketen. In Zweden moest de Coop op zaterdag zeker 800 winkels sluiten, aldus Sebastian Elfors, cybersecurity-onderzoeker voor het beveiligingsbedrijf Yubico. Buiten de Coop-winkels stonden borden die klanten informeerden dat de winkelketen getroffen was door een grote storing.
Deze kaart van Welive Security (2021) laat zien waar de gedupeerden van de Kaseya cyberaanval zich bevinden, waarbij donkergroen het zwaarst getroffen is en lichtgroen het minst.
Kaseya plaatst sinds vrijdag online meldingen over updates voor de software, informatie voor betere beveiliging en een tool voor het opsporen van hacks. Sinds zaterdag zijn er naast de 60 getroffen klanten geen nieuwe aanvallen meer gemeld. Omdat dit een aanval op de toeleveringsketen was, kan ook een groot aantal kleine bedrijven zijn getroffen. Dit kan zelfs tot duizenden oplopen als de aanleiding niet snel genoeg bekend wordt. REvil heeft inmiddels losgeld gevraagd. Ze willen 70 miljoen dollar aan Bitcoin betalingen voor een tool waarmee het getroffen bedrijf al hun bestanden kan herstellen. Dit is de hoogste eis voor losgeld tot nu toe. Het vorige record behoort ook toe aan REvil, dat 50 miljoen dollar vroeg na een aanval op de Taiwanese elektronica- en computermaker Acer. President Biden suggereerde zaterdag dat de VS zou reageren als wordt vastgesteld dat Duitsland hierbij betrokken is. Minder dan een maand geleden drong hij er bij de Russische president Vladimir Poetin op aan om REvil en andere ransomware-bendes geen veilige haven meer te bieden. De VS beschouwt de onophoudelijke afpersingsaanvallen als een bedreiging voor de nationale veiligheid.
Het agentschap voor cyberbeveiliging en infrastructuurbeveiliging (CISA) geeft drie basisaanbevelingen waarmee bedrijven en gebruikers zich beter kunnen beschermen tegen ransomware-aanvallen:
Intwo Cybersecurity Global Team
Rest assured. We've got you.
Laten we contact opnemen en samen uw zakelijke uitdagingen aanpakken.