Ransomware aanval Kaseya

Security-specialisten onderzoeken deze aanval en geven meer uitleg

| TechVisor | 3 min | 05 juli 2021 15:16
Afgelopen weekend kwam een nieuwe grootschalige ransomware-aanval aan het licht, waarbij gebruikers van de Kaseya VSA software wereldwijd werden getroffen. Verschillende security-specialisten onderzoeken deze aanval en geven meer uitleg.

Lavi Lazarovitz, Sr. Director of Cyber Research bij CyberArk Labs: “Het aanvalspatroon bij Kaseya VSA lijkt op de Cloud Hopper campagne. Daar had een phishing-aanval op een endpoint impact op honderden bedrijven die gelinkt waren aan getroffen cloud providers. Bij een slachtoffer duurde de aanval minstens vijf jaar! Als deze aanval lijkt op eerdere aanvallen dan moeten we niet vergeten wat voor aanvallers het belangrijkste is: misbruik van netwerk-decentralisatie en connectiviteit. Die zorgen immers voor de schaalbaarheid en impact.”

“Bij het Kaseya-incident speelt bovendien het misbruik van vertrouwde software, processen en relaties een rol. Door deze aan te vallen, wordt juist dat vertrouwen gebruikt om toegangsrechten over te nemen. De eerste communicatie vanuit Kaseya was dan ook om de servers waarop VSA draait zo snel mogelijk uit te zetten, want de eerste stap van een aanvaller zal zijn om de beheertoegang tot VSA af te sluiten. Het monitoren en beschermen van deze beheerrechten of privileged access is cruciaal in het identificeren en tegengaan van ongeoorloofde laterale beweging door het netwerk.”

“Bij een MSP heeft de overname van beheerrechten gelijk grootschalige impact; waarschijnlijk honderden klanten. Toegangsrechten blijven het favoriete wapen van aanvallers en worden in vrijwel alle grote aanvallen gebruikt.”

Kristof Lossie, Manager Security Engineer Team bij Check Point Security: “2021 heeft al records gebroken qua aantal cyberaanvallen, met een recordtoename van 93 procent ransomware en 97 procent cyberaanvallen in de EMEA in slechts 12 maanden. De ransomware-aanval van afgelopen weekend, waarschijnlijk uitgevoerd door de Russische groep REvil, vertegenwoordigt een catastrofale combinatie van de meest beruchte cyberaanvaltrends van 2021, supply chain-aanvallen en ransomware, met een recordaantal slachtoffers in zowel de VS als Europa."

"REvil is een van de meest prominente hackersgroepen ter wereld, verantwoordelijk voor tientallen grote inbreuken sinds 2019 en opererend vanuit de zogenaamde rol om aanvallen in het CIS te voorkomen. De aanvallers kozen niet voor niets voor dit weekend en deze methode. Ze zochten naar een achterdeur die toegang zou geven tot meer dan duizend bedrijven: één doelwit waarmee ze talloze anderen in een pandemie-achtige keten konden infecteren. Ze kozen daarnaast voor het weekend omdat ze weten dat het IT-personeel van de meeste bedrijven dan offline is of gereduceerd tot een skeletbemanning."

"Dit heeft op verschillende manieren invloed op de dreigingsactoren. Ten eerste zorgt het ervoor dat de ransomware volledig kan worden ingezet voordat iemand het merkt. Daarnaast groeit de paniek als tijdens responsoperaties blijkt dat belangrijke onderdelen in de omgeving van het slachtoffer niet beschikbaar zijn om te reageren, waardoor de kans groter wordt dat er losgeld wordt betaald."

"Gebruikers van Kaseya VSA moeten de software onmiddellijk loskoppelen van het netwerk, hoewel het misschien al te laat is. Mijn advies is om EDR, NDR en andere security monitoring tools te gebruiken om de legitimiteit van nieuwe bestanden in de omgeving sinds 2 juli te verifiëren. Neem contact op met leveranciers van beveiligingsproducten om te controleren of er bescherming is voor REvil-ransomware. En als er hulp nodig is, schakel dan een team van experts in om de situatie in de omgeving te helpen verifiëren."

"Deze aanval zou alle bedrijven, geraakt of niet, moeten alarmeren. Elk onbewaakt ogenblik kan er een aanval plaatsvinden. We verwachten dat er meer aanvallen zullen plaatsvinden tijdens vakanties en weekenden, en omdat werken op afstand het nieuwe normaal wordt, zijn de hackers van vandaag effectiever dan ooit."

Hoe vind je dit artikel?


Geef jij de eerste rating?

Content op basis van interesse of taal liever niet meer zien? Ga dan naar settings om eenvoudig je voorkeuren in te stellen.

Over TechVisor

TechVisor is het vizier op de tech industrie. Het is onze missie te voorzien in een platform voor professionals én consumenten in Nederland en België om 24x7 actualiteit en achtergrond informatie te leveren over de ontwikkelingen en stand van zaken in de tech industrie.

De mensen achter TechVisor zijn professionals uit de (inter)nationale ICT markt. Zij weten dus als geen ander welke bedrijven te volgen en wat de trends zijn in deze markt. Voor jou als ICT professional óf als consument betekent dit dus dat je op TechVisor over de meest interessante en relevante zaken op de hoogte wordt gehouden.
Meer over TechVisor
20191029224512.jpg
Het no-nonsense internetbureau
20200707165104.png
Meer meisjes en vrouwen in bèta, techniek en IT
20191029200614.jpg
Drive value with data
20191030101402.jpg
De grootste Nederlandse site over Android
20200608191257.png
Dé leukste website op het gebied van zorg in Nederland
20191030100036.png
Voor professionals met passie voor digitale revolutie!
20191030103431.png
Conference by app developers, for app developers!
© 2019-2021, alle rechten voorbehouden.
TechVisor
Het vizier op de tech industrie.