Net op tijd om het vakantieweekend te verpesten, hebben ransomware-aanvallers blijkbaar Kaseya – een softwareplatform dat is ontworpen om IT-services op afstand te helpen beheren – gebruikt om hun payload te leveren. Sophos-directeur en ethische hacker Mark Loman tweette eerder vandaag over de aanval en meldt nu dat de getroffen systemen $ 44.999 vragen om te worden ontgrendeld. Een opmerking op de website van Kaseya smeekt klanten om hun VSA-servers voorlopig uit te schakelen “omdat een van de eerste dingen die de aanvaller doet, is de beheerderstoegang tot de VSA afsluiten.”
Nieuwsflits: cybercriminelen zijn a$$holes.
Houd rekening met alle Incident Response-teams dit vakantieweekend, want ze zitten er middenin… alweer.
Als u Kaseya VSA gebruikt, sluit het dan *nu* af totdat u wordt gevraagd om opnieuw te activeren en IR te starten. Hier is het binaire bestand: https://t.co/NIuGJZW84p https://t.co/GSXPlOPjFt
— Chris Krebs (@C_C_Krebs) 2 juli 2021
Volgens Volgens een rapport van Bleeping Computer was de aanval gericht op zes grote MSP's en zijn gegevens voor maar liefst 200 bedrijven versleuteld.
Op DoublePulsar heeft Kevin Beaumont meer details gepost over hoe de aanval lijkt te werken, waarbij REvil ransomware arriveert via een Kaseya-update en de beheerdersrechten van het platform gebruikt om systemen te infecteren. Zodra de Managed Service Providers zijn geïnfecteerd, kunnen hun systemen de clients aanvallen waarvoor ze externe IT-services leveren (onder andere netwerkbeheer, systeemupdates en back-ups).
In een verklaring vertelde Kaseya aan The Verge: “We onderzoeken een mogelijke aanval op de VSA die aangeeft dat deze beperkt was tot een klein aantal van onze lokale klanten.” Een bericht beweert dat al zijn cloudservers zich nu in de “onderhoudsmodus” bevinden, een beweging die volgens de woordvoerder wordt genomen vanwege een “overvloed aan voorzichtigheid”. Later op vrijdagavond gaf Fred Voccola, CEO van Kaseya, een verklaring af waarin hij zei dat het aantal getroffen MSP's minder dan 40 is en dat ze een patch voorbereiden om de kwetsbaarheid te verminderen.
De aanval van vandaag is in verband gebracht met de beruchte REvil-ransomwarebende (reeds gekoppeld aan aanvallen op Acer en vleesleverancier JBS eerder dit jaar), en The Record merkt op dat, door incidenten onder meer dan één naam te verzamelen, dit mogelijk de derde keer is dat Kaseya-software waren een vector voor hun exploits.
Vanaf vrijdag 2 juli 2021 rond het middaguur (EST/VS) kreeg Kaseya's Incident Response-team kennis van een mogelijk beveiligingsincident waarbij onze VSA-software.
We hebben snel actie ondernomen om onze klanten te beschermen:
Sluit onze SaaS-servers onmiddellijk af als voorzorgsmaatregel, ook al hebben we geen meldingen van compromittering ontvangen van SaaS- of gehoste klanten;
Onmiddellijk onze lokale klanten op de hoogte gebracht via e-mail, kennisgevingen in het product en telefoon om hun VSA-servers af te sluiten om te voorkomen dat ze worden gecompromitteerd.
Vervolgens hebben we ons vastgestelde proces voor incidentrespons gevolgd om de omvang van het incident te bepalen en de mate waarin onze klanten werden getroffen.
We hebben ons interne team voor incidentrespons en toonaangevende experts uit de sector ingeschakeld voor forensisch onderzoek om ons te helpen de oorzaak van het probleem te achterhalen;
We hebben wetshandhavings- en overheidsinstanties voor cyberbeveiliging op de hoogte gebracht, waaronder de FBI en CISA.
Hoewel onze vroege indicatoren suggereerden dat slechts een zeer klein aantal on-premises klanten werd getroffen, hebben we een conservatieve benadering gevolgd bij het afsluiten van de SaaS-servers om ervoor te zorgen dat we onze meer dan 36.000 klanten zo goed mogelijk beschermden. We hebben positieve feedback gekregen van onze klanten over onze snelle en proactieve reactie.
Terwijl ons onderzoek gaande is, zijn we tot op heden van mening dat:
Onze SaaS-klanten nooit risico hebben gelopen. We verwachten de service aan die klanten te herstellen zodra we hebben bevestigd dat ze geen risico lopen, wat naar verwachting binnen de komende 24 uur zal zijn;
Slechts een zeer klein percentage van onze klanten werd getroffen – momenteel geschat op minder dan 40 wereldwijd.
We zijn van mening dat we de bron van de kwetsbaarheid hebben geïdentificeerd en bereiden een patch voor om deze voor onze lokale klanten te verminderen, die grondig zal worden getest. We zullen die patch zo snel mogelijk vrijgeven om onze klanten weer aan de slag te krijgen.
Ik ben er trots op te kunnen melden dat ons team een plan had om in actie te komen en dat plan vandaag perfect heeft uitgevoerd. We hebben van de overgrote meerderheid van onze klanten gehoord dat ze helemaal geen problemen hebben ondervonden, en ik ben onze interne teams, externe experts en industriepartners dankbaar die met ons hebben samengewerkt om dit snel tot een succesvol resultaat te brengen.
De acties van vandaag zijn een bewijs van Kaseya's niet aflatende inzet om onze klanten op de eerste plaats te zetten en het hoogste niveau van ondersteuning voor onze producten te bieden.
— Fred Voccola, CEO van Kaseya
Update 2 juli, 22:40 ET: Verklaring van Kaseya CEO toegevoegd.