Kaseya bevestigt ransomware-aanval via VSA-software: 1000 bedrijven slachtoffer

[Captain Kirk]

Softwareleverancier Kaseya heeft bevestigd dat de VSA-software die het levert aan managed serviceproviders (MSP's) is gebruikt voor een wereldwijde ransomware-aanval. Daarbij zijn meer dan duizend bedrijven slachtoffer geworden. Via VSA kunnen managed serviceproviders op afstand de systemen van hun klanten beheren.

Hoe de aanval precies is uitgevoerd laat Kaseya niet weten, maar het bedrijf zegt de aanvalsvector te hebben gevonden. Eerder stelde onderzoeker Mark Loman van antivirusbedrijf Sophos dat de aanvallers via een malafide Kaseya-update de ransomware hebben verspreid. Dit wordt nu bevestigd door Cisco en Symantec. Cisco zegt dat de aanvallers gebruikmaakten van een malafide automatische update voor de VSA endpoint monitoringsoftware die uiteindelijk de REvil-ransomware installeert.

"In veel gevallen zijn tijdens netwerkgebaseerde ransomware-aanvallen ook back-upservers het doelwit, wat het belang onderstreept van het geregeld testen van een offline back-up- en herstelstrategie", aldus Joe Marshal van Cisco. Volgens securitybedrijf Huntress zijn zo'n dertig MSP's in de Verenigde Staten, Australië, Europa en Latijns-Amerika getroffen waarbij de VSA-software werd gebruikt om meer dan duizend bedrijven met ransomware te besmetten. Voor het ontsleutelen van bestanden eisen de aanvallers bedragen van tussen de 45.000 en 5 miljoen dollar.

Eerder liet Kaseya al weten dat wereldwijd minder dan veertig managed serviceproviders slachtoffer zijn geworden. Het softwarebedrijf heeft een "Compromise Detection Tool" ontwikkeld waarmee VSA-klanten kunnen controleren of hun omgeving is gecompromitteerd. De tool is op verzoek bij Kaseya verkrijgbaar. Tevens is de FBI bij het onderzoek naar de aanval betrokken. Kaseya herhaalt het advies aan MSP's om hun VSA-servers offline te houden. Dit heeft als gevolg dat het niet mogelijk is om systemen van klanten op afstand via VSA te beheren.

 

bron: https://www.security.nl

[Captain Kirk]

De aanvallers achter de wereldwijde ransomware-aanval via de software van Kaseya hebben geen toegang tot de broncode van het bedrijf gehad of bijvoorbeeld de updateservers gebruikt om hun ransomware te verspreiden. Er is dan ook geen sprake van een supply-chain-aanval. Dat stelt Kaseya op basis van onderzoek.

Volgens het bedrijf hebben de aanvallers gebruik gemaakt van verschillende zerodaylekken in Kaseya VSA. Hierdoor konden ze de authenticatie omzeilen en willekeurige commando's op de VSA-servers van managed serviceproviders (MSP's) uitvoeren. Vervolgens hebben de aanvallers de standaard functionaliteit van Kaseya gebruikt om ransomware bij de klanten van MSP's te installeren.

Managed serviceproviders (MSP's) gebruiken Kaseya VSA voor het beheren van de systemen van hun klanten. Via VSA hebben MSP's dan ook op afstand toegang tot deze systemen. Nadat de aanvallers de VSA-servers van managed serviceproviders hadden gecompromitteerd konden ze probleemloos de systemen van klanten aanvallen. Voor zover nu bekend zijn er minder dan vijftienhonderd "downstream businesses" op deze manier getroffen.

"We weten dat er veel informatie over dit incident rondgaat. Een deel klopt, maar heel veel niet", aldus Kaseya, dat zegt met meer informatie te zullen komen als dit beschikbaar komt.