Op vrijdag 2 juli 2021 begon een van de grootste ransomware-aanvallen ooit. Meer dan duizend bedrijven wereldwijd zijn slachtoffer geworden van de gijzelsoftware. Ook in Nederland is het raak. Wie zit hierachter? En hoe kregen deze cybercriminelen toegang tot de systemen van zoveel organisaties?
Hoe ging de aanval in zijn werk?
Voor deze aanval maakten de cybercriminelen gebruik van de software VSA van het Amerikaanse bedrijf Kaseya. Daarmee kunnen managed serviceproviders (MSP’s) op afstand de systemen van hun klanten beheren. Op de eigen website bevestigt Kaseya dat het ‘helaas getroffen is door een geavanceerde cyberaanval’. Securitybedrijf Cisco meldt dat de aanvallers via de VSA-software een malafide automatische update wisten uit te rollen. Die update installeerde de ransomware REvil.
Het gaat hier om een zogeheten ‘supplychain-aanval’. Bij deze aanvalsmethode komen de cybercriminelen binnen via een derde partij die toegang heeft tot systemen en data van de betreffende organisatie. Iets vergelijkbaars gebeurde in maart bij softwarebedrijf SolarWinds. Cybercriminelen wisten toen malware toe te voegen aan een update voor de beheersoftware Orion.
Lees ook: Supplychain-aanvallen steeds populairder onder cybercriminelen.
De aanval op Kaseya was overigens bijna voorkomen door een groep Nederlandse ethische hackers. Het Dutch Institute for Vulnerability Disclosure (DIVD) ontdekte enige tijd geleden een zeroday-kwetsbaarheid in de software. Samen met Kaseya gingen ze aan de slag om het lek te dichten. Helaas waren ze er net te laat bij, vertellen de hackers aan Vrij Nederland.
'Benieuwd naar de laatste trends op het gebied van ransomware? Lees dan het blog Ransomware-update: dit zijn de laatste trends.'
Wie zijn de daders?
De REvil-bende heeft de verantwoordelijkheid voor de aanval opgeëist in een bericht op hun site op het darkweb. Ze claimen dat er meer dan een miljoen systemen zijn besmet. “Als iemand wil onderhandelen over de universele decryptor: onze prijs is 70 miljoen dollar in bitcoins”, aldus de cybercriminelen. Na betaling beloven ze een tool beschikbaar te stellen die de bestanden van alle slachtoffers ontsleutelt. “Daarmee kan iedereen binnen een uur herstellen van de aanval.”
REvil, ook wel Sodinokibi genoemd, is een zeer succesvol voorbeeld van ransomware-as-a-service (RaaS). Hierbij wordt de gijzelsoftware als dienst aangeboden aan andere cybercriminelen. Deze ‘partners’ zijn verantwoordelijk voor de distributie van de malware. Een percentage van de opbrengst gaat automatisch naar de REvil-bende.
Lees ook: Ransomware-as-a-service: 5 vragen over REvil.
Welke bedrijven zijn slachtoffer geworden?
De totale impact van de aanval is op het moment van schrijven nog niet te overzien. Volgens securitybedrijf Huntress zijn circa 30 MSP’s in de Verenigde Staten, Australië, Europa en Latijns-Amerika getroffen door de ransomware. Via deze MSP’s zouden meer dan duizend bedrijven slachtoffer zijn geworden. Een van hen is de Zweedse supermarktketen Coop. Door de cyberaanval werkten de kassasystemen niet meer. Daarom besloot het bedrijf circa 800 winkels te sluiten.
KPN Security schat dat er in Nederland tientallen bedrijven hinder ondervinden van de aanval. Volgens de NOS gaat het in ieder geval om klanten van IT-bedrijf VelzArt. Bij de technisch dienstverlener Hoppenbrouwers zijn eveneens systemen besmet geraakt. In België is de MSP ITxx getroffen door de ransomware. Daarbij zijn alle data van het bedrijf zelf en 50 gehoste klanten versleuteld.
Waarom werd Kaseya aangevallen?
Softwarebedrijven zoals Kaseya zijn een interessant doelwit voor cybercriminelen. Als zij een populaire beheertool weten te hacken, krijgen ze toegang tot de computers die daarmee beheerd worden. Kaseya heeft bovendien veel MSP-klanten die de IT-omgeving van hun eigen klanten beheren. Deze hack is dus een zeer effectief middel om in één keer grote aantallen organisaties aan te vallen.
Waarom vond de aanval nu plaats?
De timing van de aanval lijkt niet willekeurig. Sommige experts stellen dat bewust is gekozen voor het weekend van 4 juli. Dat is een nationale feestdag in de Verenigde Staten. Veel werknemers zijn dan vrij, wat gunstig is voor cybercriminelen. Problemen komen immers minder snel aan het licht en er is minder capaciteit om ze op te lossen.
Wat moeten getroffen MSP’s en bedrijven doen?
Kaseya adviseert om VSA-servers zo snel mogelijk uit te schakelen en offline te houden tot het bedrijf met instructies komt voor een veilig herstel. Klanten die getroffen zijn door ransomware wordt met klem afgeraden om tijdens de communicatie met de aanvallers op links te klikken. Kaseya stelt ook een detectietool beschikbaar waarmee MSP’s kunnen controleren of hun omgeving gecompromitteerd is.
Het Nationaal Cyber Security Centrum (NCSC) adviseert ‒ naast het offline houden van VSA-servers en het gebruik van Kaseya's detectietool ‒ om met een bredere blik logbestanden na te gaan en aanvullende monitoring en analyse uit te voeren. Ook raadt de instantie gebruikers van VSA aan om contact op te nemen met hun beheerorganisatie voor verdere instructies.
KPN Security adviseert bedrijven om in het geval van een ransomwarebesmetting een grondige impactanalyse uit te voeren. Schakel bij ernstige problemen forensisch specialisten in. Zij kunnen helpen de schade te beperken. Doe ook altijd aangifte. De politie heeft bepaalde expertise die van pas kan komen. Daarnaast is het belangrijk dat de politie een zo volledig mogelijk beeld heeft van de impact op Nederlandse organisaties.
Hoe bescherm ik mijn organisatie hiertegen?
Helaas is het bijzonder lastig om te voorkomen dat u slachtoffer wordt van een supplychain-aanval. Je hebt namelijk geen grip op de security van derde partijen waarmee je samenwerkt. Het is riskant om een IT-partner onbeperkte toegang tot de systemen te geven. Voorkom in ieder geval dat de portals van een beheersysteem via het open internet toegankelijk zijn. Zet ze altijd achter een VPN en een Intrusion Prevention/Detection System (IPS/IDS).
Durf ook eisen te stellen aan de security van leveranciers. Maak hier in de service level agreement (SLA) afspraken over, bijvoorbeeld dat het bedrijf regelmatig pentests laat uitvoeren en een strikt patchbeleid hanteert. Idealiter neem je dit mee in een bredere strategie voor Third Party Risk Management. Met welke partijen werk je samen? Hoe belangrijk zijn zij voor de bedrijfsvoering? En hebben zij hun security op orde?
Uiteraard is het ook belangrijk om zelf maatregelen tegen ransomware te treffen. Maak gebruik van een moderne antimalware-oplossing en pas netwerkdetectie toe om aanvallen snel te detecteren. Daarnaast is het cruciaal dat er externe back-ups zijn die niet aangetast kunnen worden. Test deze back-ups ook regelmatig. Zorg er verder voor dat je een crisisplan paraat hebt voor een ransomware-incident. Hoe handel je en hoe zijn de taken verdeeld?
Tot slot adviseert KPN Security om een continu verbeterproces in te richten voor je cybersecurity. Laat bijvoorbeeld twee keer per jaar een pentest uitvoeren en scherp op basis daarvan de beveiliging verder aan. Zo veranker je securitybeleid in de organisatie.
Ransomware readiness scan
De ransomware readiness scan geeft extra bescherming tegen onder meer ransomware. Deze helpt je te onderzoeken in hoeverre jouw organisatie is voorbereid op een dergelijke aanval. Je ontdekt waar de zwakke plekken zitten en hoe je deze kunt aanpakken.