Ransomware aanval op Kaseya, één van de grootste cyberaanvallen

Terug naar overzicht
Ransomware aanval op Kaseya, één van de grootste cyberaanvallen
Kaseya helpt bedrijven o.a. met beheer op afstand van hun IT-infrastructuur. Zij werden onlangs getroffen door een cyberaanval die vermoedelijk werd uitgevoerd door het aan Rusland gelinkte cybercriminele REvil. De aanval infecteerde honderden bedrijven in zeker 17 landen.

InTWO Incident Response Plan

Volgens het protocol van ons InTWO Incident Response Plan hebben wij direct de ons bekende contactpersonen op de hoogte gesteld en onmiddellijk alle potentiële risico’s in kaart gebracht. Ons expert team kon al snel bevestigen dat wij geen gebruikmaken van de geïnfecteerde software die bekend staat als Kaseya VSA. Onze klanten zijn dus niet getroffen door deze aanval. Ons team heeft bovendien bevestigd dat onze tools voor beheer op afstand volledig gepatcht en up-to-date zijn. Hierdoor worden potentiële kwetsbaarheden op het gebied van cyberbeveiliging in elk geval al tot een minimum beperkt. Bij InTWO zijn we altijd waakzaam en proactief als het gaat om bescherming en beveiliging. Aarzel daarom niet om contact met ons op te nemen als u vragen heeft over dit of enig ander cyberincident waarmee u mogelijk te maken heeft. Of als u wilt bespreken hoe InTWO u kan helpen met de beste beveiliging voor uw bedrijf.

Wat er gebeurde met Kaseya

Op vrijdag werd bij Kaseya de software getroffen voor het onderhoud van de IT en het managen van externe endpoints. Deze software biedt de mogelijkheid om apparaten te monitoren, patching-updates uit te voeren, de beveiliging van de IT-infrastructuur te verbeteren en endpointsystemen op afstand te beheren. Op zaterdagochtend bevestigde Kaseya dat het te maken heeft gehad met een ‘geavanceerde cyberaanval’ op hun VSA-software en tool voor controle op afstand. Het bedrijf meldt dat slechts ca. 40 klanten zijn getroffen. Maar omdat de software van Kaseya ook wordt gebruikt door grote IT-bedrijven met services voor honderden kleinere bedrijven, kon de hack ook kunnen voor duizenden slachtoffers. Op 2 juli gaf het bedrijf het dringende advies aan hun bijna 40.000 klanten om de Kaseya-software direct af te sluiten en ook alle versies van VSA die op hun eigen servers draaiden. Het bedrijf schortte ook de eigen cloud-gebaseerde VSA-dienst op. Het bedrijf voor cyberbeveiliging, Huntress Labs, meldde dat het 20 IT-bedrijven had opgespoord, bekend als Managed Service Providers, die door deze cyberaanval waren getroffen. Het bedrijf ondervond de meest gevreesde tactieken van hackers: Aanvallen op de toeleveringsketen en ransomware. In het eerste geval worden bedrijven aangevallen waarvan de software op grote schaal door andere bedrijven wordt gebruikt. Eenmaal in het systeem van de provider, gebruiken aanvallers dit als een springplank om toegang te krijgen tot de netwerken van hun klanten. De aanvallers installeren vervolgens ransomware, die de gegevens van slachtoffers vergrendelt en geven de gegevens pas vrij als er losgeld wordt betaald, meestal in niet-traceerbare cryptocurrencies. Het is daarbij ook mogelijk dat na betaling de gegevens niet worden vrijgegeven. Daarom raden experts af om hiervoor losgeld te betalen. Door de kettingreactie werden honderden bedrijven getroffen, waaronder een spoorwegmaatschappij en apotheekketen. In Zweden moest de Coop op zaterdag zeker 800 winkels sluiten, aldus Sebastian Elfors, cybersecurity-onderzoeker voor het beveiligingsbedrijf Yubico. Buiten de Coop-winkels stonden borden die klanten informeerden dat de winkelketen getroffen was door een grote storing.
Deze kaart van Welive Security (2021) laat zien waar de gedupeerden van de Kaseya cyberaanval zich bevinden, waarbij donkergroen het zwaarst getroffen is en lichtgroen het minst.
door: https://www.welivesecurity.com/ 
Kaseya plaatst sinds vrijdag online meldingen over updates voor de software, informatie voor betere beveiliging en een tool voor het opsporen van hacks. Sinds zaterdag zijn er naast de 60 getroffen klanten geen nieuwe aanvallen meer gemeld. Omdat dit een aanval op de toeleveringsketen was, kan ook een groot aantal kleine bedrijven zijn getroffen. Dit kan zelfs tot duizenden oplopen als de aanleiding niet snel genoeg bekend wordt. REvil heeft inmiddels losgeld gevraagd. Ze willen 70 miljoen dollar aan Bitcoin betalingen voor een tool waarmee het getroffen bedrijf al hun bestanden kan herstellen. Dit is de hoogste eis voor losgeld tot nu toe. Het vorige record behoort ook toe aan REvil, dat 50 miljoen dollar vroeg na een aanval op de Taiwanese elektronica- en computermaker Acer. President Biden suggereerde zaterdag dat de VS zou reageren als wordt vastgesteld dat Duitsland hierbij betrokken is. Minder dan een maand geleden drong hij er bij de Russische president Vladimir Poetin op aan om REvil en andere ransomware-bendes geen veilige haven meer te bieden. De VS beschouwt de onophoudelijke afpersingsaanvallen als een bedreiging voor de nationale veiligheid.

Tips voor bescherming tegen ransomware

Het agentschap voor cyberbeveiliging en infrastructuurbeveiliging (CISA) geeft drie basisaanbevelingen waarmee bedrijven en gebruikers zich beter kunnen beschermen tegen ransomware-aanvallen:
  • Maak een back-up van uw computer – Maak regelmatig back-ups van uw systeem en belangrijke bestanden en controleer uw back-ups regelmatig. Als uw computer geïnfecteerd raakt met ransomware, kunt u met de back-ups uw systeem snel herstellen naar een vorige situatie.
  • Sla uw back-ups apart op – Uw back-ups kunt u het best op een apart apparaat opslaan dat niet toegankelijk is via een netwerk, zoals een externe harde schijf. Zodra de back-up is voltooid, moet u ervoor zorgen dat de externe harde schijf of enig ander apparaat wordt losgekoppeld van het netwerk of de computer.
  • Train uw organisatie – In het ideale geval organiseren bedrijven regelmatig – verplichte – trainingen voor cyberbeveiliging zodat dat hun personeel altijd op de hoogte is van huidige bedreigingen en technieken. Om de bewustwording te verbeteren, kunnen organisaties hun personeel testen met phishing-evaluaties die echte phishing-e-mails simuleren.
InTWO Cybersecurity Global Team