Software Kaseya bleek achilleshiel bij grote ransomware aanval

Een mogelijk lek in de software van het Amerikaanse bedrijf Kaseya is de oorzaak van de grote ransomware aanval die zaterdag heel wat bedrijven platlegde. ICT-bedrijven gebruiken die software om computersystemen van klanten op afstand te beheren.

De ransomware REvil zou gebruikt zijn om Kaseya’s desktop management tool VSA te kapen, waarna hackers toegang hadden tot duizenden systemen. Op deze manier kon bij veel bedrijven een Trojaans Paard naar binnen worden gesmokkeld, ook bij ondernemingen die anti-ransomware software hadden geïnstalleerd. Experts spreken over een supply chain attack.

Het bedrijf heeft klanten geadviseerd om alle VSA-servers offline te halen totdat Kaseya verdere instructies geeft. Er moet een patch worden geïnstalleerd voordat de VSA opnieuw kan worden opgestart. Een detectietool is sinds zaterdag al wel beschikbaar voor Kaseya VSA-klanten.

Zondagmiddag Nederlandse tijd komt het bedrijf met nader nieuws. Later vandaag geeft Kaseyo CEO Fred Voccola een interview aan de Amerikaanse ontbijtshow Good Morning America.

De omvang van de schade is op dit moment nog moeilijk in te schatten aangezien de aanval in het weekend plaatsvond en veel bedrijven gesloten zijn. Kaseya, dat samenwerkt met de FBI, zegt dat 40 van zijn klanten rechtstreeks zijn getroffen. Huntress Labs schatte zaterdag dat duizenden kleine bedrijven mogelijk zijn getroffen.

De Kaseya-technologie werd ook gebruikt door het Zweedse bedrijf Visma Esscom, dat weer servers en apparaten beheert voor een aantal Zweedse bedrijven. De Zweedse supermarktketen Coop, met een marktaandeel van 20 procent, moest zaterdag alle 800 van zijn winkels sluiten omdat de kassa’s niet bediend kunnen worden.

In Nederland zijn mogelijk honderden bedrijven slachtoffer van de grote cyberaanval. Het gaat in ieder geval om klanten van ICT-bedrijf VelzArt in Waardenburg, meldt de NOS. Onder hen de Udenhoutse technisch dienstverlener Hoppenbrouwers.

Het Centrum voor Cybersecurity België heeft nog geen meldingen gekregen van gedupeerde bedrijven, maar dat kan met het weekend te maken hebben. Het Centrum heeft wel al een waarschuwing uitgestuurd.

De nieuwe aanval herinnert aan een soortgelijke aanval uit 2017 met de NotPetya-malware, zegt Mark Loman van beveiligingsbedrijf Sophos tegen de NOS. Die aanval verliep op een vergelijkbare manier en kostte onder meer het Deense transportbedrijf Maersk zo’n 200 miljoen euro.

President Joe Biden heeft zijn inlichtingendiensten opdracht gegeven de zaak te onderzoeken. Het lijkt te gaan om dezelfde hackers die de Braziliaanse vleesgigant JBS twee maanden geleden platlegden.

Verwacht wordt dat naar aanleiding van de aanvallen maatregelen zullen worden genomen. Er wordt al gespeculeerd over een mogelijk ransomwareverbod, maar er zouden ook restricties kunnen komen voor bitcoinbetalingen.

FireEye CEO Kevin Mandia vertelde afgelopen week nog dat er een direct verband bestaan tussen de toename van ransomware-aanvallen en de populariteit van cryptogeld. ‘Je kunt anoniem inbreken en anoniem worden betaald, en dat op 16.000 kilometer afstand vanuit een veilige haven.’

Colonial Pipeline betaalde zelfs 5 miljoen dollar losgeld nadat zijn IT-netwerk was gehackt. De FBI wist echter een deel van de bitcoins te achterhalen omdat men beschikte over de private sleutel van de bitcoin-portefeuille van de hackers.

Foto Shutterstock