Afgelopen weekend kwam een nieuwe grootschalige ransomware-aanval aan het licht. Het trof wereldwijd gebruikers van de Kaseya VSA software. Verschillende security-specialisten onderzoeken deze aanval en geven meer uitleg. ICTMagazine laat twee internationaal erkende experts aan het woord.
Schaalbaarheid
“Het aanvalspatroon bij Kaseya VSA lijkt op de Cloud Hopper campagne”, constateert Lavi Lazarovitz. Hij is, Senior Director of Cyber Research bij CyberArk Labs. “Daar had een phishing-aanval op een endpoint impact op honderden bedrijven die gelinkt waren aan getroffen cloud providers. Bij een slachtoffer duurde de aanval minstens vijf jaar”. Als de huidige ransomware-aanval lijkt op eerdere aanvallen dan moeten we niet vergeten wat voor aanvallers het belangrijkste is. “Dat is misbruik van netwerk-decentralisatie en connectiviteit. Die zorgen immers voor de schaalbaarheid en impact.”
Vertrouwen misbruikt
Complicerende factor is dat bij het Kaseya-incident misbruik van vertrouwde software, processen en relaties een rol speelt. “Door deze aan te vallen, wordt juist dat vertrouwen gebruikt om toegangsrechten over te nemen.” De eerste communicatie vanuit Kaseya was dan ook om de servers waarop VSA draait zo snel mogelijk uit te zetten.
Monitoring nu cruciaal
Ook het NCSC raadt beheerders aan aan de systemen uit te schakelen. Dit, omdat de eerste stap van een aanvaller zal zijn om de beheertoegang tot VSA af te sluiten. Het monitoren en beschermen van deze beheerrechten of privileged access is cruciaal.
“Bij een MSP heeft de overname van beheerrechten gelijk grootschalige impact. Waarschijnlijk honderden klanten. Toegangsrechten blijven het favoriete wapen van aanvallers en worden in vrijwel alle grote aanvallen gebruikt.”
Dit jaar breekt records
Kristof Lossie, Manager Security Engineer Team bij Check Point Security schetst het bredere beeld: “2021 heeft al records gebroken qua aantal cyberaanvallen, met een recordtoename van 93 procent ransomware en 97 procent cyberaanvallen in de EMEA. De ransomware-aanval van afgelopen weekend, waarschijnlijk uitgevoerd door de Russische groep REvil, vertegenwoordigt een catastrofale combinatie van de meest beruchte cyberaanvaltrends van 2021, supply chain-aanvallen en ransomware, met een recordaantal slachtoffers in zowel de VS als Europa.”
Voorkeur voor weekends
REvil is een van de meest prominente hackersgroepen ter wereld, stelt Lossie. “Ze zijn verantwoordelijk voor tientallen grote inbreuken sinds 2019.” De aanvallers kozen niet voor niets voor dit weekend en deze methode. Men zocht naar een achterdeur die toegang zou geven tot meer dan duizend bedrijven: één doelwit waarmee ze talloze anderen in een pandemie-achtige keten konden infecteren. Ze kozen daarnaast voor het weekend. Dit, omdat ze weten dat het IT-personeel van de meeste bedrijven dan offline is of gereduceerd tot werkt in veel kleinere teams.
Ransomeware volledig inzetten
Dit heeft op verschillende manieren invloed op de dreigingsactoren, weet Lossie. Ten eerste zorgt het ervoor dat de ransomware volledig kan worden ingezet voordat iemand het merkt. Daarnaast groeit de paniek als tijdens responsoperaties blijkt dat belangrijke onderdelen in de omgeving van het slachtoffer niet beschikbaar zijn om te reageren, waardoor de kans groter wordt dat er losgeld wordt betaald.
Gebruik monitoring tools
Ook Lossie adviseert gebruikers van Kaseya VSA de software onmiddellijk los te koppelen van het netwerk. “Hoewel het misschien al te laat is. Mijn advies is om EDR, NDR en andere security monitoring tools te gebruiken. Dit, om de legitimiteit van nieuwe bestanden in de omgeving sinds 2 juli te verifiëren.”
