Drie dagen nadat ransomware-aanvallers het vakantieweekend begonnen met het compromitteren van Kaseya VSA, hebben we een duidelijker beeld van hoe wijdverbreid de impact is geweest. In een nieuw losgeldeis beweren de aanvallers meer dan 1 miljoen computers te hebben gecompromitteerd en vragen ze $ 70 miljoen om de getroffen apparaten te decoderen.
Kaseya's software wordt gebruikt door Managed Service Providers om IT-taken op afstand uit te voeren, maar op 2 juli heeft de aan Rusland gelinkte REvil ransomware-groep een kwaadaardige software-update geïmplementeerd die providers die het platform gebruiken en hun klanten blootlegt.
Het Dutch Institute for Vulnerability Disclosure (DIVD) heeft onthuld dat het erop lijkt dat de exploit die voor de inbreuk is gebruikt dezelfde is die ze ontdekten en aan het aanpakken waren toen de aanvallers toesloegen. “We waren al bezig met een uitgebreid onderzoek naar back-up- en systeembeheertools en hun kwetsbaarheden”, schreef de DIVD. “Een van de producten die we hebben onderzocht, is Kaseya VSA. We ontdekten ernstige kwetsbaarheden in Kaseya VSA en meldden deze aan Kaseya, met wie we sindsdien regelmatig contact hebben gehad.”
We verwachten dat het volledige bereik van slachtofferorganisaties groter zal zijn dan wat wordt gerapporteerd door een individueel beveiligingsbedrijf.
Op vrijdag zei Fred Vocolla, CEO van Kaseya, dat “slechts een zeer klein percentage van onze klanten werd getroffen – momenteel geschat op minder dan 40 wereldwijd.” Sophos VP Ross McKerchar zei zondag in een verklaring dat “Dit een van de meest verstrekkende criminele ransomware-aanvallen is die Sophos ooit heeft gezien. Op dit moment blijkt uit ons bewijs dat meer dan 70 Managed Service Providers werden getroffen, wat resulteerde in meer dan 350 organisaties die verder werden getroffen. We verwachten dat het volledige bereik van slachtofferorganisaties groter zal zijn dan wat wordt gerapporteerd door een individueel beveiligingsbedrijf.”
Plaatsvervangend nationaal veiligheidsadviseur voor cyber- en opkomende technologie Anne Neuberger volgde eerdere opmerkingen van president Biden op en zei: “De FBI en CISA zullen contact opnemen met geïdentificeerde slachtoffers om hulp te bieden op basis van een beoordeling van het nationale risico.”
Huntress Labs neemt deel aan de reactie op de aanval en heeft de meeste beschikbare informatie gecatalogiseerd, en zegt dat de aanval meer dan 1.000 bedrijven heeft gecompromitteerd die het volgt.
:no_upscale()/cdn.com/upload-cdn. /chorus_asset/file/22700229/revil_blog.png "Kaseya ransomware-aanvallers eisen $ 70 miljoen, beweren dat ze meer dan een miljoen apparaten hebben geïnfecteerd")
REvil losgeld eis Sophos Kaseya's SaaS-cloudservers blijven offline
Sophos, Huntress en anderen wezen op dit bericht (hierboven) op REvil's “Happy Blog”, bewerend dat meer dan een miljoen apparaten zijn geïnfecteerd en een losgeldeis van $ 70 miljoen in Bitcoin hebben ingesteld om ze allemaal te ontgrendelen. REvil is in verband gebracht met een hele reeks ransomware-incidenten, waaronder een aanval met Kaseya in juni 2019 en een spraakmakend incident eerder dit jaar gericht op de vleesleverancier JBS. Beveiligingsonderzoeker Marcus Hutchins uitte echter zijn scepsis over de claim van de groep, wat suggereert dat ze de impact overdrijven in de hoop een grote uitbetaling van Kaseya of iemand anders te krijgen
Tot nu toe, een van de bedrijven die het meest getroffen zijn door de aanval is Coop, een lijn van meer dan 800 supermarkten in Zweden die zaterdag werd gesloten toen de aanval de kassa's sloot. Volgens een opmerking op haar website, winkels waar klanten kunnen winkelen met Coop's Scan & De mobiele betaalapp is heropend, terwijl andere locaties gesloten blijven. Experts hebben voorspeld dat op dinsdag, wanneer werknemers terugkeren naar kantoren in de VS, er mogelijk meer slachtoffers worden ontdekt.
Drie dagen na de aanval blijven de SaaS-cloudservers van Kaseya offline. Het bedrijf zegt dat het vanavond een bijgewerkte tijdlijn voor serverherstel zal verstrekken, evenals meer technische details van de aanval om herstelinspanningen door klanten en beveiligingsonderzoekers te ondersteunen.