Op vrijdag 2 juli stond de weerstand van het Amerikaanse bedrijfsleven op halve kracht. Veel mensen namen die dag vrij voor een lang feestweekend rondom de 4th of July. De Russische hackersgroep REvil maakte handig gebruik van dat moment door een grote ransomware-aanval uit te voeren op de systemen van Kaseya. Daarmee stelde de cybercriminelen de onafhankelijkheid die gevierd zou worden zwaar op de proef. Niet alleen in Amerika, maar wereldwijd werden duizenden bedrijven getroffen via hun Managed Service Providers (MSP’s). Wat kunnen bedrijven doen om zich te verdedigen tegen dergelijke grootschalige aanvallen?
Door: Chantal ’t Gilde, Qualys
Waarom zijn MSP’s het doelwit?
De Russische REvil-bende, die ook bekend staat als Sodinokibi, biedt een zogenoemde ransomware-as-a-service (RaaS)-dienst. Ransomware as a Service (RaaS) is een dienst waarmee ontwikkelaars ransomware inkopen zoals dat ook gebruikelijk is met legitieme SaaS-producten. Met RaaS kan iedereen die de dienst afneemt ransomware-aanvallen uitvoeren, zelfs zonder enige technische kennis. De klanten van de RaaS-dienst (zogenoemde “affiliates’) betalen hiervoor met het losgeld dat hun slachtoffers betalen. Dergelijke affiliates infecteerden een update van Kaseya VSA met ransomware. Daarmee richtten zij zich vooral op MSP’s die Kaseya VSA gebruiken om de systemen van klanten op afstand te beheren. Zo breidde de ransomware zich als een olievlek uit over de hele wereld. De cybercriminelen eisen 70 miljoen dollar om de gegijzelde systemen weer vrij te geven.
MSP’s bedienen honderden klanten en zijn daardoor een aantrekkelijk doelwit van REvil-affiliates en andere ransomware-aanvallen. De inbreuk op Kaseya is de grootste tot nog toe en breekt al binnen enkele maanden het vorige record, de aanval op Acer in maart 2021. Criminelen zijn altijd liever lui dan moe en één succesvolle aanval treft meteen veel gegevens van een groot aantal bedrijven. Dat betekent niet alleen meer slachtoffers die losgeld betalen, maar deze betalen ook hogere bedragen omdat het vaak om bedrijfskritieke gegevens gaat.
Maatregelen
Kaseya biedt inmiddels een detectietool waarmee IT-managers kunnen vaststellen of hun systemen geïnfecteerd zijn. Deze tool is (nog) niet beschikbaar op de website, maar je kunt een verzoek indienen via een e-mail naar support@kaseya.com met het onderwerp “Compromise Detection Tool Request.” Vervolgens dien je te controleren of de hashes en IP’s, die opgesomd staan in een appendix van de tool, voorkomen in de logbestanden. Als dit het geval is, moet je ervan uitgaan dat REvil ook jouw systemen is binnengedrongen en de servers waarop Kaseya VSA geïnstalleerd is, meteen uitzetten en isoleren. Om toekomstige aanvallen tegen te gaan kan een MSP een dienst aanbieden om kwetsbaarheden te ontdekken, beoordelen, en te patchen binnen de hele hybride IT-omgeving vanuit een enkele oplossing.
De trend van almaar stijgende ransomware-aanvallen en losgeldbedragen zal voortduren als de economie niet verandert. Het is té gemakkelijk geworden om anoniem losgeld te innen, bijvoorbeeld door cryptocurrency. Als deze mogelijkheid niet langer een optie is, verdwijnt de stimulans voor criminele organisaties. Zoals gezegd zijn criminelen liever lui dan moe en als het te moeilijk of te lastig wordt om geld te verdienen, is de activiteit voor hen al snel niet interessant meer.
Eigen verantwoordelijkheid
Terwijl de regeringen wereldwijd het bovenstaande overwegen, dienen we met z’n allen ook onze eigen verantwoordelijkheid te nemen. Aanvallen op de softwareleveranciers die oplossingen bieden waarvan MSP’s gebruik maken (de zogenoemde supply chain of toeleveringsketen) moeten niet alleen MSP’s, maar ook bij hun klanten hoog op de agenda staan. Als een MSP de beveiliging van een bedrijf beheert, heeft dat bedrijf hier per definitie niet langer de controle over. Daarmee verslapt de waakzaamheid. Het is juist essentieel om goed na te gaan wie je gegevens host en beheert. Je kunt het werk wel uitbesteden, maar het risico niet.
Bijna iedereen is kwetsbaar voor aanvallen op de supply chain. Dat maakt het zo belangrijk dat organisaties beschikken over de juiste protocollen, beveiligingsoplossingen en robuuste risicobeoordelingen van derden voordat deze aanvallen plaatsvinden. Daarnaast kan een doordacht noodplan ervoor zorgen dat zij effectief kunnen reageren op, en herstellen van, een aanval. Als er dan een aanval plaatsvindt, is dit meteen bekend en kun je snel overschakelen op een alternatieve oplossing. Een goede back-up die niet verbonden is met de systemen kan de gevolgen voor de organisatie vervolgens tot een minimum beperken.