REvil Kaseya Attack – Een gids om te voorkomen dat je een slachtoffer wordt

REvil Kaseya-aanval

Al de details

Deze blogpost behandelt de redenen waarom IT-beheerders op hun hoede moeten zijn voor de REvil Kaseya-aanval. Kaseya is een bedrijf dat IT-beheersoftware levert voor kleine tot grote bedrijven. Het bedrijf begon in 2000 en is gevestigd in San Mateo, Californië. Kaseya biedt IT-beheersoftware voor IT-managers, ISP’s en het MKB. Hun vlaggenschipproduct is Kaseya VSA. Het is een complete IT-beheeroplossing met live monitoring en afstandsbediening. Via VSA kunnen MSP’s onder meer patchbeheer bij klanten uitvoeren. Op de systemen van deze klanten wordt de VSA-clientsoftware geïnstalleerd, die via een VSA-server wordt beheerd.

De Kaseya ransomware-aanval vond plaats op vrijdag 2 juli. Bedrijven over de hele wereld worden getroffen door de REvil Kaseya-aanval. De aanvallers beweren meer dan een miljoen computers te hebben versleuteld en eisen $ 70 miljoen voor een generieke decoderingstool waarmee alle slachtoffers hun bestanden kunnen decoderen. De exacte aanvalsvector was aanvankelijk onbekend, maar alles wees al snel op het VSA-programma van softwarebedrijf Kaseya. Beheerde serviceproviders gebruiken deze software om de systemen van hun klanten op afstand te beheren.

Schaal, details van massale Kaseya Ransomware-aanval

John Hammond van EmergeHuntress Labs vertelde BleepingComputer dat alle getroffen MSP’s Kaseya VSA gebruiken en bewijs hebben dat hun klanten ook versleuteld zijn.

De volledige impact zal pas dinsdag gevoeld worden, wanneer de mensen weer aan het werk zijn, zeggen experts. “Niet iedereen heeft de waarschuwingen gezien of had de urgentie om hun eigen netwerk/systemen te controleren”, zegt Bryce Webster-Jacobsen, hoofd inlichtingen bij cyberbeveiligingsbedrijf GroupSense .

Kaseya heeft een tool gemaakt die binnengedrongen systemen, zoals computers, detecteert die door deze server worden beheerd. Deze tool zoekt alleen naar infectiesporen die Huntress Labs heeft gedeeld die specifiek zijn voor deze ransomware-aanval. Het advies blijft om VSA-servers offline te houden totdat er meer informatie beschikbaar is van Kaseya. Naast het gebruik van de detectietool van Kaseya adviseert het NCSC om een bredere kijk op logbestanden te nemen en aanvullende monitoring en analyse uit te voeren. In de ‘Handleiding implementatie detectieoplossingen’ staan meer aandachtspunten voor monitoring. De aanvallers achter de ransomware-aanval via de software van Kaseya hebben geen toegang tot de broncode van het bedrijf, bijvoorbeeld de updateservers die worden gebruikt om hun ransomware te lokaliseren. Er bestaat niet zoiets als een supply chain-aanval. Dit stelt Kaseya op basis van onderzoek .

Kaseya heeft beveiligingsupdates uitgerold. 95% van de SaaS-klanten van Kaseya zijn nu weer online.

Bescherm uw bedrijf. Bekijk deze beveiligingsdiensten om uw bedrijf te beveiligen, voordat criminelen de zwakke punten van uw bedrijf ontdekken