Wereldwijde ransomware aanval: hackers ontsleutelen voor $50 miljoen

Gepubliceerd op 5 juli 2021 om 08:55

Vrijdag 2 juli werden bedrijven wereldwijd getroffen door een ransomware-aanval. De aanvallers claimen meer dan een miljoen computers te hebben versleuteld en eisen 70 miljoen dollar voor een generieke decryptietool waarmee alle slachtoffers hun bestanden kunnen ontsleutelen. De exacte aanvalsvector was eerst nog onbekend, maar alles wees al snel naar het programma VSA van softwarebedrijf Kaseya. Managed serviceproviders (MSP's) gebruiken deze software om de systemen van hun klanten op afstand te beheren. In dit artikel geeft 'Security' een overzicht van de aanval en de laatste ontwikkelingen. Het artikel zal dan ook steeds worden bijgewerkt.

Kaseya systeembeheer en netwerkmonitoring

Kaseya VSA is een 'Unified Remote Monitoring & Management' oplossing voor systeembeheer en netwerkmonitoring. Via VSA kunnen MSP's onder andere patchmanagement bij klanten uitvoeren, it-incidenten oplossen en zichtbaarheid in de it-netwerken van hun klanten krijgen. Op de systemen van deze klanten wordt de VSA-clientsoftware geïnstalleerd die via een VSA-server wordt beheerd.

Een dag na de aanval bevestigde Kaseya dat de aanvallers inderdaad de VSA-software hadden gebruikt om systemen van MSP-klanten met ransomware te infecteren. Volgens verschillende beveiligingsonderzoekers en securitybedrijven wisten de aanvallers via de VSA-software een malafide automatische update uit te rollen die de REvil-ransomware op systemen installeerde.

Dutch Institute for Vulnerability Disclosure 

Het Dutch Institute for Vulnerability Disclosure (DIVD) maakte zondag 4 juli bekend dat de Nederlandse beveiligingsonderzoeker Wietse Boonstra verschillende kwetsbaarheden in VSA had ontdekt waarvan de aanvallers bij hun aanval misbruik van maakten. Deze beveiligingslekken, aangeduid als CVE-2021-30116, waren aan Kaseya gerapporteerd en het bedrijf werkte aan een beveiligingsupdate. Nog voordat het die kon uitrollen hebben de criminelen achter de REvil-ransomware misbruik van de lekken gemaakt voor het uitvoeren van hun aanval. Hoe het kon dat de criminelen ook van de kwetsbaarheden wisten is onbekend. Beveiligingsonderzoeker Victor Gevers meldde op Twitter dat de beveiligingslekken triviaal te vinden waren.

Vanwege de aanval adviseerde Kaseya aan managed serviceproviders om hun VSA-servers meteen offline te halen en te houden totdat er meer informatie bekend was. Ook de SaaS-omgeving van Kaseya zelf ging offline. Dit heeft tot gevolg dat MSP's de systemen van hun klanten niet meer via VSA kunnen beheren. Kaseya heeft inmiddels beveiligingsupdates ontwikkeld. Het plan is om op maandag 5 juli het SaaS-datacenter van Kaseya weer online te brengen. Daarna volgen de patches voor de VSA-servers van MSP's. Kasesya spreekt in de berichtgeving trouwens over één kwetsbaarheid.

Het DIVD is een organisatie die beveiligingsonderzoek uitvoert en bedrijven waarschuwt voor kwetsbaarheden. Naast het informeren van Kaseya over de beveiligingslekken waarschuwde het samen met Kaseya ook managed serviceproviders om hun systemen offline te halen. In eerste instantie waren zo'n 2200 VSA-servers vanaf het internet toegankelijk. Inmiddels is dat aantal gedaald naar 140 en gaat het om nul servers in Nederland. Dat heeft niet kunnen voorkomen dat volgens Kaseya tientallen MSP's slachtoffer zijn geworden. Het bedrijf geeft geen exact aantal, maar sprak eerst van minder dan veertig providers. In een interview met ABC News wordt gesproken over een getal van tussen de vijftig en zestig MSP's.

Microsoft Defender

Bij het uitvoeren van de aanval maakten de aanvallers gebruik van een kwetsbare versie van Microsoft Defender, zo meldt antivirusbedrijf Sophos. Deze versie is kwetsbaar voor side-loading, waarbij kwaadaardige code in een dll-bestand wordt geplaatst. Aanvallers plaatsen dit dll-bestand vaak in de directory van de bijbehorende executable. Wanneer de executable wordt uitgevoerd zal ook het kwaadaardige dll-bestand worden geladen.

Zodra het dll-bestand in het geheugen is geladen verwijdert de malware zichzelf van de harde schijf. Vervolgens worden via het uitvoerbare en gecompromitteerde bestand van Microsoft Defender de harde schijf, externe schijven en netwerkschijven versleuteld. "Allemaal door een door Microsoft gesigneerde applicatie die securitycontrols meestal vertrouwen en ongehinderd toestaan", zegt onderzoeker Mark Loman.

Impact aanval

De exacte impact van de aanval is op dit moment nog onbekend, maar het afgelopen weekend werd al duidelijk dat meerdere bedrijven zijn getroffen. Securitybedrijf Huntress meldde dat het om meer dan duizend bedrijven gaat, die klant bij zo'n dertig MSP's zijn, van wie de systemen zijn versleuteld. De aanvallers claimen zelf op hun eigen blog meer dan een miljoen systemen te hebben versleuteld en eisen 70 miljoen dollar voor een generieke decryptietool waarmee alle slachtoffers hun systemen kunnen ontsleutelen.

Hieronder een overzicht van getroffen bedrijven en organisaties.

REvil cybercriminelen

De aanval is uitgevoerd door de groep criminelen achter de REvil-ransomware, die ook wel Sodinokibi wordt genoemd. De eerste ransomare-exemplaren van deze groep werden in april 2019 ontdekt. REvil was onder andere verantwoordelijk voor de aanval op JBS, de grootste vleesverwerker ter wereld. Dit bedrijf betaalde uiteindelijk 11 miljoen dollar losgeld. REvil wist eerder in te breken bij de Deense schoonmaakgigant ISS en claimde succesvolle aanvallen tegen computerfabrikant Acer en Apple-leverancier Quanta Computer. De groep maakte in het verleden onder andere gebruik van kwetsbaarheden in Oracle WebLogic om organisaties te compromitteren. Volgens sommige experts heeft de groep bewust het weekend van 4 juli gekozen, aangezien dit een nationale feestdag in de VS is en organisaties daardoor onderbezet zijn.

Het is niet voor het eerst dat aanvallers via managed serviceproviders bedrijven met ransomware weten te infecteren. Ook de REvil-groep heeft dit eerder gedaan. In 2019 werden klanten van een Amerikaanse MSP slachtoffer van een dergelijke aanval, die plaatsvond via ConnectWise, een plug-in voor Kaseya. Door de aanval zouden 1500 tot 2000 systemen van klanten zijn getroffen.

In juni 2019 was het de REvil-groep die bij een niet nader genoemde MSP wist toe te slaan. Volgens securitybedrijf Huntress Labs kregen de aanvallers toegang via RDP. Vervolgens maakten ze gebruik van de Webroot-managementconsole om de ransomware op klantsystemen te downloaden en aanwezige antivirussoftware uit te schakelen.

In augustus 2019 was het wederom raak en werden systemen van 23 steden in de Amerikaanse stad Texas versleuteld. Tevens wist de REvil-groep in deze maand de data van vierhonderd Amerikaanse tandartspraktijken te versleutelen via een aanval op hun softwareleverancier. In december 2019 sloeg de REvil-groep wederom toe bij een managed serviceprovider waardoor meer dan honderd tandartspraktijken in de VS met ransomware besmet raakten.

Advies

Kaseya heeft inmiddels een detectietool ontwikkeld waarmee managed serviceproviders kunnen controleren of hun omgeving is gecompromitteerd. Inmiddels zouden meer dan negenhonderd MSP's de tool hebben uitgevoerd. Op dit moment wordt providers nog altijd geadviseerd om hun VSA-servers offline te houden. De FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security adviseren MSP's om hun VSA-servers achter een VPN of firewall op een apart beheernetwerk te plaatsen en alleen bekende ip-adressen toegang te geven.

Het Witte Huis roept getroffen MSP's en bedrijven op om melding te doen bij de FBI. Daarnaast is er een onderzoek naar de aanval aangekondigd.


Update 6 juli 2021


Kaseya: geen sprake van supply-chain-aanval, broncode niet aangepast

De aanvallers achter de wereldwijde ransomware-aanval via de software van Kaseya hebben geen toegang tot de broncode van het bedrijf gehad of bijvoorbeeld de updateservers gebruikt om hun ransomware te verspreiden. Er is dan ook geen sprake van een supply-chain-aanval. Dat stelt Kaseya op basis van onderzoek. Volgens het bedrijf hebben de aanvallers gebruik gemaakt van verschillende zerodaylekken in Kaseya VSA. Hierdoor konden ze de authenticatie omzeilen en willekeurige commando's op de VSA-servers van managed serviceproviders (MSP's) uitvoeren. Vervolgens hebben de aanvallers de standaard functionaliteit van Kaseya gebruikt om ransomware bij de klanten van MSP's te installeren. Managed serviceproviders (MSP's) gebruiken Kaseya VSA voor het beheren van de systemen van hun klanten. Via VSA hebben MSP's dan ook op afstand toegang tot deze systemen. Nadat de aanvallers de VSA-servers van managed serviceproviders hadden gecompromitteerd konden ze probleemloos de systemen van klanten aanvallen. Voor zover nu bekend zijn er minder dan vijftienhonderd "downstream businesses" op deze manier getroffen. "We weten dat er veel informatie over dit incident rondgaat. Een deel klopt, maar heel veel niet", aldus Kaseya, dat zegt met meer informatie te zullen komen als dit beschikbaar komt.


Kaseya: minder dan vijftienhonderd bedrijven bij aanval besmet met ransomware

Bij de wereldwijde ransomware-aanval via de software van Kaseya zijn voor zover nu bekend minder dan vijftienhonderd bedrijven getroffen, zo heeft Kaseya in een update over het incident laten weten. Volgens het softwarebedrijf hebben de aanvallers bij minder dan zestig managed serviceproviders (MSP's) toegeslagen. Vervolgens zijn de systemen van vijftienhonderd klanten van deze MSP's met ransomware geïnfecteerd. De aanvallers achter de aanval maakten misbruik van een kwetsbaarheid in Kaseya VSA, software waarmee managed serviceproviders de systemen van hun klanten op afstand beheren. Kaseya heeft een beveiligingsupdate voor dit beveiligingslek ontwikkeld die nu wordt getest. Vandaag brengt Kaseya eerst de eigen SaaS-servers online. Vervolgens is het plan dat binnen 24 uur hierna de beveiligingsupdate beschikbaar komt. Kaseya heeft overlegd met de FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security over extra beveiligingsmaatregelen voor zowel de SaaS-dienst als de VSA-servers die MSP's zelf beheren. Een verzameling beveiligingsmaatregelen zal voor het herstarten van de diensten worden gepubliceerd. Tevens is er een nieuwe versie van de detectietool verschenen waarmee managed serviceproviders kunnen controleren of hun VSA-servers zijn gecompromitteerd. Zo'n tweeduizend MSP's hebben de tool inmiddels gedownload, aldus het softwarebedrijf. Verder blijft het eerder gegeven advies gelden dat managed serviceproviders hun VSA-servers offline moeten houden. Kaseya zal laten weten wanneer het veilig is om de systemen te starten. Er zal een patch zijn vereist voor de herstart van VSA-servers.


Kaseya-patch wacht op (uitgesteld) SaaS-herstel

Kaseya is in de afrondende fase voor de patch die de kwetsbaarheid dicht in beheersoftware VSA waarlangs wereldwijd ransomware is verspreid. Testing en validatie vindt sinds gister plaats, maar de patch wordt pas uitgebracht na herstel van Kaseya's eigen SaaS-servers. Dat weer online brengen heeft al wat uitstel opgelopen. Softwareproducent Kaseya heeft zijn eigen SaaS-systemen (Software-as-a-Service) zelf offline gehaald toen vrijdag de grote ransomware-infectie uitbrak onder zijn klanten. En onder de klanten van die klanten; veelal aanbieders van beheerdiensten via Kaseya's VSA-software (Virtual Systems Administrator). Terwijl SaaS-klanten volgens de leverancier op geen enkel moment gevaar hebben gelopen, is dat cloudaanbod wel uitgeschakeld. Lees verder


Kaseya CEO Fred Voccola richt zich op cyberaanvallen en volgende stappen voor VSA-klanten


Update 7 juli 2021


Kaseya meldt vertraging bij uitrol van beveiligingsupdate voor VSA-servers

Een beveiligingsupdate van softwarebedrijf Kaseya waardoor duizenden managed serviceproviders (MSP's) hun VSA-servers weer online kunnen brengen heeft vertraging opgelopen, zo meldt het bedrijf. Vorige week maakte de groep achter de REvil-ransomware misbruik van verschillende kwetsbaarheden in de VSA-oplossing van Kaseya om klanten van MSP's met ransomware te infecteren. Managed serviceproviders gebruiken VSA voor het beheren van de systemen van hun klanten. VSA is beschikbaar als SaaS-oplossing en MSP's kunnen het op hun eigen servers installeren. Kaseya wilde eerst de SaaS-oplossing patchen en online brengen en daarna de beveiligingsupdate voor de VSA-servers van MSP's uitbrengen. Bij het online brengen van de SaaS-omgeving hebben zich echter problemen voorgedaan, waardoor de uitrol niet kon worden afgerond. Wanneer de SaaS-dienst nu online komt is onbekend. Dit heeft gevolgen voor MSP's met hun eigen VSA-servers, omdat Kaseya van plan was om na het online brengen van de SaaS-dienst binnen 24 uur een update voor managed serviceproviders uit te brengen. De installatie van deze patch is verplicht om VSA-servers weer online te kunnen brengen. In de tussentijd kunnen MSP's de systemen van hun klanten niet via VSA beheren.


Update 8 juli 2021


Nederlandse onderzoekers vonden zeven kwetsbaarheden in Kaseya-software

Nederlandse beveiligingsonderzoekers hebben begin april zeven kwetsbaarheden in Kaseya VSA gevonden, waaronder één van de twee beveiligingslekken waar criminelen vorige week bij de wereldwijde ransomware-aanval gebruik van maakten. De onderzoekers maken deel uit van het Dutch Institute for Vulnerability Disclosure (DIVD), dat zich bezighoudt met beveiligingsonderzoek en het waarschuwen van kwetsbare organisaties. De beveiligingslekken die de DIVD-onderzoekers ontdekten maken het onder andere mogelijk om code op VSA-servers uit te voeren, de tweefactorauthenticatie te omzeilen, SQL Injection-aanvallen uit te voeren en inloggegevens te bemachtigen waarmee er toegang tot VSA-servers kan worden verkregen. Na ontdekking van de kwetsbaarheden werd Kaseya door het DIVD gewaarschuwd. Vier de van de beveiligingslekken werden vervolgens verholpen via updates die in april en mei verschenen. Drie van de kwetsbaarheden moesten nog in de VSA-software worden gepatcht. Eén van deze beveiligingslekken, aangeduid als CVE-2021-30116, werd vorige week bij de wereldwijde ransomware-aanval door criminelen gebruikt om toegang tot de VSA-servers van managed serviceproviders (MSP's) te krijgen. Via deze servers beheren MSP's de systemen van hun klanten. De standaard remote toegang die VSA biedt gebruikten de criminelen om vervolgens ransomware op klantsystemen te installeren. De ernst van CVE-2021-30116 is op een schaal van 1 tot en met 10 met een 10 beoordeeld. Daarnaast maakten de aanvallers ook misbruik van een andere kwetsbaarheid, zo laat het DIVD weten. Dit beveiligingslek was echter niet door de Nederlandse onderzoekers ontdekt. Het DIVD wil details over de gevonden kwetsbaarheden pas bekendmaken als Kaseya updates heeft uitgebracht en die op voldoende systemen zijn geïnstalleerd, om zo eventueel misbruik te voorkomen.


Kaseya komt zondag 11 juli met update om VSA-servers online te brengen

Softwarebedrijf Kaseya komt zondag 11 juli met een beveiligingsupdate om VSA-servers, zowel in de SaaS-omgeving als die bij managed serviceproviders (MSP's) zelf draaien, weer online te brengen. Tot die tijd kunnen MSP's de systemen van hun klanten niet via VSA beheren. Daarnaast zegt Kaseya getroffen serviceproviders financieel te zullen ondersteunen. Oorspronkelijk was Kaseya van plan om de SaaS-servers 6 juli online te brengen, waarna de beveiligingsupdate voor de VSA-servers bij MSP's binnen 24 uur zou verschijnen. Gisteren werd bekend dat Kaseya bij het online brengen van de SaaS-servers tegen problemen was aangelopen en het proces daarom was gestopt. Daardoor konden ook de VSA-servers van managed serviceproviders niet online komen. Ceo Fred Voccola laat in een videoboodschap weten dat de servers van MSP's langer offline zullen moeten blijven. Het plan is nu om aanstaande zondag 11 juli alle VSA-omgevingen online te kunnen brengen. Volgens Voccola is deze beslissing gemaakt om de VSA-software verder te beveiligen. In aanloop naar het uitbrengen van de beveiligingsupdate en ervoor te zorgen dat MSP's hierop voorbereid zijn heeft Kaseya een handboek gepubliceerd. Zo moeten MSP's onder andere controleren dat hun VSA-servers zijn geïsoleerd, de Compromise Detection Tool is uitgevoerd, het besturingssysteem van de VSA-servers is gepatcht, software van securitybedrijf FireEye wordt geïnstalleerd en nog lopende scripts/jobs worden verwijderd. Na het afronden van deze stappen kan de VSA-beveiligingsupdate worden geïnstalleerd. Kaseya waarschuwt serviceproviders om de VSA-applicatie pas na de installatie van de patch te starten.


Update 9 juli 2021


Kaseya liet oud klantenportaal met kwetsbaarheid jarenlang online staan

Softwarebedrijf Kaseya, waarvan de software vorige week werd gebruikt voor een wereldwijde ransomware-aanval, heeft een oud klantenportaal waarin een kwetsbaarheid zat jarenlang online laten staan. In 2015 werd er een beveiligingslek in de Kaseya VSA-software gevonden (CVE-2015-2862) waarvoor het bedrijf met een beveiligingsupdate kwam. Het klantenportaal van Kaseya, bereikbaar via portal.kaseya.net, was ook kwetsbaar voor dit beveiligingslek. Via de kwetsbaarheid is path traversal mogelijk en kan een aanvaller toegang tot allerlei bestanden op de webserver krijgen. In het geval van de VSA-software was de aanval alleen via een geauthenticeerde gebruiker mogelijk, maar dat was niet het geval bij de klantenportaal. Kaseya wist niet dat het klantenportaal ook kwetsbaar was, waardoor het beveiligingslek daarin nooit werd verholpen. In 2018 werd het klantenportaal uitgefaseerd en vervangen door een moderner klant- en ticketsysteem. Het oude portaal bleef echter online staan. Volgens Kaseya zijn er op dit moment geen aanwijzingen dat het oude klantenportaal op enige wijze betrokken is geweest bij de ransomware-aanval van vorige week. Er wordt echter nog onderzocht welke data in het systeem stond, zo laat het bedrijf tegenover it-journalist Brian Krebs weten. Nadat Kaseya werd geïnformeerd dat het oude klantenportaal kwetsbaar was werd het offline gehaald.


Pas op met "updaten van Kaseya"

Hackers proberen munt te slaan uit de crisis rondom de VSA-software van ICT-dienstverlener Kaseya. Ze hebben een spamcampagne opgezet waarbij ze potentiële slachtoffers proberen over te halen om een beveiligingsupdate te installeren die de kwetsbaarheid in VSA verhelpt. In werkelijkheid halen nietsvermoedende slachtoffers een Cobalt Strike payload binnen die een achterdeur toevoegt aan het bedrijfsnetwerk. Op deze manier proberen ze het netwerk binnen te glippen en malware te installeren. Lees verder


Update 11 juli 2021


Kaseya was al jarenlang lek en merkt nu genadeloze gevolgen

Hackers infiltreerden vorige week ict-bedrijf Kaseya dat gevestigd is in Florida. De indringers voerden een ransomware-aanval uit, stolen grote hoeveelheden gegevens en eisten 70 miljoen dollar (omgerekend 59 miljoen euro) als losgeld voor de terugkeer van de data. De hack op Kaseya wordt 'de grootste ransomware-aanval ooit' genoemd en heeft wereldwijd honderden bedrijven getroffen, waaronder supermarkten in Zweden en scholen in Nieuw-Zeeland. Leidinggevenden van het ict-bedrijf waren kennelijk al ruim van te voren gewaarschuwd voor kritieke beveiligingsfouten in de software vóór de ransomware-aanval. Medewerkers zouden van 2017 tot 2020 tijdens verschillende gelegenheden hun leidinggevenden op de hoogte hebben gebracht van een breed scala aan cyberbeveiligingsproblemen. Die problemen werden kennelijk vaak niet volledig aangepakt volgens de werknemers die werkzaam waren op de afdeling software-engineering en software-ontwikkeling. Lees verder


Bron: fbi.gov, whitehouse.gov, cisa.gov, kaseya.app.box.com, itxx.bevelzart.nl, education.govt.nz, abcnews.go.com, kaseya.com, twitter.com, csirt.divd.nl, doublepulsar.com, security.nl

Meer info over ransomware

Tips of verdachte activiteiten gezien? Meld het hier.

Ransomware gerelateerde berichten

De meest gevreesde Ransomware versleutelingen

Netwalker in een ransomware die in september 2019 werd ontdekt. Het draagt een tijdstempel van eind augustus 2019. Netwalker is een bijgewerkte versie van Mailto die ontdekt werd door de onafhankelijk cybersecurity-onderzoeker en Twitter-gebruiker GrujaRS.

Lees meer »

Spie International bevestigt ransomware aanval

Spie International is het slachtoffer geworden van cybercriminelen. Ze slaagde erin om de Nefilim-ransomware op het computernetwerk van het bedrijf te installeren. Inmiddels werken alle systemen weer en draait de productie weer als vanouds. Wel is er data buitgemaakt van diverse klanten.

Lees meer »

"Storing" bij Canon

Dat er veel meer cybercrime slachtoffers zijn dan wordt gemeld, is inmiddels wel duidelijk. Er heerst nog altijd een taboe rondom slachtofferschap van digitale delicten.

Lees meer »

Het businessmodel van 'Ransomware as a Service'

Vorige week werd Garmin slachtoffer van een ransomware aanval door de Russische hackers group Evil Corp. Dagenlang waren de diensten van Garmin onbereikbaar. Het is steeds makkelijker om dit soort aanvallen te doen omdat er zoiets bestaat als 'Ransomware as a Service' (RaaS).

Lees meer »