Drie weken lang hield de FBI de sleutel geheim waarmee bedrijven zichzelf konden verlossen van de ransomware REvil die vanaf begin juli vele bedrijven overviel. Dat schrijft de Washington Post deze woensdag.
De wereldwijde aanvallen met deze gijzelsoftware troffen begin juli het softwarebedrijf Kaseya en daarmee hun meeste klanten.
Kaseya maakt softwarepakketten voor onderhoud op afstand (SaaS) van computersystemen. De software is overal ter wereld in gebruik bij IT-bedrijven die dergelijk beheer en onderhoud uitvoeren. Dat betekent dat naast de IT-bedrijven zelf ook hun klanten door de ransomwareaanval werden getroffen.
De krant vroeg en kreeg bevestiging van de directeur van de Amerikaanse federale politie Christopher A. Wray. Volgens Wray wist de dienst begin juli al de hand te leggen op de ontsleuteling, maar deelde deze informatie pas drie weken later.
Hackersgroep
De krant sprak zowel medewerkers als oud-medewerkers die allemaal zeggen dat de vertraging zat in het feit dat er gewerkt werd aan het oprollen van de hackersgroep achter de gijzelsoftware.
Eerder delen van de sleutel had betekend dat volgens de FBI de hele operatie in gevaar kwam. De Amerikaanse politie had de sleutel namelijk bemachtigd door in te breken in de REvilservers.
Uiteindelijk maakte Kaseya later in juli bekend de sleutel te hebben. Wan wie ze die hadden en hoe dat ging maakten ze niet bekend. De sleutel werd gedeeld en het kwam nooit tot een echte inval omdat de groep half juli ineens van de radar verdween.
Kaseya-VSA
De grootschalige ransomware-aanval aan het licht. Het trof wereldwijd gebruikers van de Kaseya VSA software. Verschillende security-specialisten onderzochten de aanval. ICTMagazine sprak met twee internationaal erkende experts.
“Het aanvalspatroon bij Kaseya VSA lijkt op de Cloud Hopper campagne”, constateert Lavi Lazarovitz. Hij is Senior Director of Cyber Research bij CyberArk Labs. “Daar had een phishing-aanval op een endpoint impact op honderden bedrijven die gelinkt waren aan getroffen cloud providers. Bij een slachtoffer duurde de aanval minstens vijf jaar”. Als de huidige ransomware-aanval lijkt op eerdere aanvallen dan moeten we niet vergeten wat voor aanvallers het belangrijkste is. “Dat is misbruik van netwerk-decentralisatie en connectiviteit. Die zorgen immers voor de schaalbaarheid en impact.”
Vertrouwen misbruikt
Complicerende factor was dat bij het Kaseya-incident misbruik van vertrouwde software, processen en relaties een rol speelde. “Door deze aan te vallen, wordt juist dat vertrouwen gebruikt om toegangsrechten over te nemen.” De eerste communicatie vanuit Kaseya was dan ook om de servers waarop VSA draait zo snel mogelijk uit te zetten.
Ook het NCSC raadde beheerders aan aan de systemen uit te schakelen. Dit, omdat de eerste stap van een aanvaller was om de beheertoegang tot VSA af te sluiten.
Overigens blijkt de groep sinds deze maand weer actief te zijn. Waarschijnlijk hebben ze ook alweer nieuwe slachtoffers gemaakt.
Lees ook:
- Kaseya vindt encryptiesleutel tegen wereldwijde hack
- Strip om bewustwording ransomware te vergroten
