Legendarische hacks #5: Kaseya, de belangrijkste supply chain ransomware-aanval tot nu toe

Wanneer een patch leidt tot een wereldwijde aanval en een ransom van $ 70 miljoen.

Wat is een supply chain ransomware-aanval?

De supply chain brengt meerdere professionals samen en probeert deze zo goed mogelijk samen te laten werken. De belangrijkste actoren van de toeleveringsketen zijn: producenten, leveranciers, fabrieken, distributeurs, klanten en logistieke dienstverleners.

Een supply chain-aanval houdt in dat kwaadwillende actoren een kwetsbaarheid in het netwerk van een organisatie vinden, kwaadaardige code inbedden in een software-update en deze automatisch naar klanten in de supply chain pushen.

De Kaseya organisatie

Op 2 juli, het weekend van de Amerikaanse Onafhankelijkheidsdag, kondigde de in de VS gevestigde netwerksoftwareleverancier Kaseya aan dat zijn infrastructuur was gecompromitteerd en verzocht hij onmiddellijk een aantal van zijn klanten om hun systemen af ​​te sluiten.

De aanval, gekoppeld aan de Russische ransomware-groep REvil (ook wel Sodinokibi genoemd), infiltreerde Kaseya's Virtual Systems Administrator (VSA)-software, ontworpen om de volledige infrastructuur van een organisatie op afstand te beheren. REvil is een van de meest productieve groepen van bedreigingsactoren, met in totaal de meeste slachtoffers in 2021.

De eerste entry werd gedaan met behulp van een zero-day kwetsbaarheid in Kaseya's VSA-software (gebruikt voor remote management en control). Hierdoor konden de aanvallers opdrachten uitvoeren op het VSA-apparaat. Het lijkt erop dat een automatische update in VSA is gebruikt om de ransomware eruit te persen. REvil eiste voor deze aanval een 70 miljoen dollar ransom van Kaseya en duizenden dollars van individuele slachtoffers.

Het was des te belangrijker omdat de aanval werd gedaan via een vertrouwd kanaal. De klanten van Kaseya zijn Managed Service Providers (MSP's), gecontracteerd om op afstand IT-activiteiten voor organisaties af te handelen. Dit breidde het aanvalslandschap enorm uit. Bovendien richtten de kwaadwillende zich rechtstreeks op software die werd gebruikt om klanten te beschermen tegen kwaadaardige aanvallen.

Kaseya heeft gezegd dat tussen de 800 en 1.000 bedrijven over de hele wereld zijn getroffen door de aanval, waaronder scholen in Nieuw-Zeeland en "Coop" supermarkten in Zweden, downstreamklanten van de getroffen MSP's.

Kaseya startte snel een herstelproces om het probleem in zijn VSA op te lossen. Op 3 juli heeft Kaseya een tool voor het detecteren van compromissen vrijgegeven aan haar klanten. Deze tool analyseert het systeem van de gebruiker, of het nu een VSA-server of een managed endpoint is, en bepaalt of er indicatoren van compromis (IOC) aanwezig zijn. Tot op heden hebben 2.000 klanten de tool gedownload. Kaseya heeft ook patches uitgebracht om de kwetsbaarheid in VSA te verhelpen.

Enkele weken na de aanval bevestigde Kaseya dat het een decryption key had gekregen om honderden bestanden van aangevallen bedrijven te ontgrendelen. Voor velen kwam het te laat omdat ze al herstelprocessen hadden ingesteld om hun gegevens op te halen of het losgeld hadden betaald.

Geleerde lessen uit de Kaseya aanval

Zo'n aanval had iedereen kunnen overkomen. Om dit onder ogen te zien, is het belangrijk om regelmatig de response plannen voor incidenten opnieuw te bekijken. Dit omvat het periodiek evalueren van tools in de beveiligingsstack om ervoor te zorgen dat ze kunnen omgaan met nieuwe bedreigingen.

Ontdek het advies van onze expert om te leren hoe u zich voorbereid op een ransomware-aanval.