Ransomware-aanval geleid door de REvil (Sodikinibi) cyberbende treft 1.500 bedrijven wereldwijd

Een grote ransomware-aanval, uitgevoerd door de beruchte REvil / Sodinikibi cyberbende aan het roer, zou naar verluidt tot 200 bedrijven in Amerika en bijna 1500 wereldwijd hebben getroffen. De aan Rusland gebonden boeven hebben een specifiek softwarepakket voor netwerkbeheer gecompromitteerd om de dreiging te verspreiden, waardoor ze een groot aantal cloudserviceproviders konden bereiken.

De gebrekkige software in kwestie wordt Virtual System Administrator of VSA genoemd - een systeem voor monitoring en beheer op afstand dat is ontwikkeld en op de markt wordt gebracht door Kaseya, een particulier bedrijf, dat ernaar streeft om efficiënte en kosteneffectieve softwareoplossingen te bieden aan kleine en middelgrote bedrijven over de hele wereld . De malware begon ransomware uit te voeren op eindpunten die werden beheerd door Kaseya's VAS on-premises pakket. Als gevolg hiervan kan de werkelijke omvang van de tactiek veel belangrijker blijken te zijn dan beveiligingsonderzoekers hadden gehoopt.

Gebruikmaken van populaire software voor een grotere impact

Ransomware-aanvallen van dat kaliber proberen meestal beveiligingsfouten te vinden in bekende, veelgebruikte softwareprogramma's en misbruiken die fouten om de malware verder in de toeleveringsketen te plaatsen. Dit is echter de eerste grootschalige ransomware-aanval in de toeleveringsketen die we hebben waargenomen. Gezien het grote aantal bedrijven dat Kaseya's VSA-pakket gebruikt, is het tot nu toe niet helemaal duidelijk welk percentage van hun klanten het slachtoffer is geworden van de aanval. Het management van Kaseya heeft zojuist een officieel bericht uitgegeven waarin klanten worden opgeroepen om al hun on-premises VSA-servers af te sluiten om de verspreiding van de malware tegen te gaan. Hoewel het bedrijf minder dan zestig getroffen klanten heeft gevonden, hebben laatstgenoemden zakelijke relaties met vele andere bedrijven in de loop van de tijd, wat het totale aantal getroffen bedrijven op ongeveer 1500 brengt.

Op de vooravond van 4 juli – Toeval of een berekende zet?

Beveiligingsonderzoekers geloven dat de timing van de aanval - vrijdag 2 juli - opzettelijk was, aangezien de meeste bedrijfsafdelingen, inclusief IT's, doorgaans minder personeel hebben voor en tijdens nationale feestdagen. John Hammond van Huntress Labs, die de aanval ontdekte, heeft melding gemaakt van ten minste vier geïnfecteerde managed-serviceproviders, die elk IT-infrastructuurhostingservices leveren aan vele andere bedrijven. Het supply chain-karakter van de aanval heeft een enorm schadepotentieel omdat de uiteindelijke slachtoffers de kleine en middelgrote bedrijven zijn die volledig afhankelijk zijn van de veiligheid van hun leveranciers. Als laatstgenoemde eenmaal een inbreuk heeft opgelopen, verspreidt deze zich als een lopend vuurtje onder hun zakelijke klanten verderop in de keten.

Patch en preventieve maatregelen (vanaf 6 juli 12:00 PM EDT)

Kaseya's functionarissen hebben getroffen klanten geadviseerd om hun on-premises VSA-servers tot nader order af te sluiten en niet op ransomware-gerelateerde URL's te klikken, met de belofte een beveiligingspatch te ontwikkelen voordat de servers weer online worden gezet. Het bedrijf volgde dit voorbeeld door ook zijn VSA SaaS-infrastructuur offline te zetten. Hoewel de beveiligingsspecialisten van Kaseya hopen de SaaS-services vandaag voor 19:00 uur EDT te herstellen, zijn ze ook van plan een reeks verbeterde beveiligingsmaatregelen te implementeren om het risico op toekomstige infecties te minimaliseren. Die maatregelen variëren van het opzetten van:

• Een onafhankelijk Security Operations Center (SOC) om elke VSA-server te bewaken
• Een extra Content Delivery Network (CDN) met een bijbehorende Web Application Firewall (WAF) voor elke VSA-server
• Een compromisdetectietool voor klanten die hun on-premises VSA-servers willen testen op mogelijke inbreuken
• Een patch voor on-premises VSA-klanten (reeds ontwikkeld, wordt momenteel getest en gevalideerd).

Als alles volgens plan verloopt, kunnen de VSA-klanten van Kaseya hun servers binnen enkele uren aan de praat krijgen.