De hack op Kaseya domineerde de afgelopen dagen het nieuws. Een Russische groepering wist in te breken bij de softwareleverancier, waarmee het toegang kreeg tot organisaties over de hele wereld. Inmiddels is meer bekend over ‘de grootste cyberaanval ooit’.
De ransomwareaanval op Kaseya treft veel managed service providers (MSP’s) en organisaties. Zij maken gebruik van de software om IT-systemen te beheren. Via de Kaseya-oplossingen kunnen de hackers dus andere bedrijven aanvallen. Wereldwijd wordt er uitgegaan van zeker honderden slachtoffers. Bij het bekendmaken van de hack startten securityexperts direct onderzoek op. Ook werden overheidsinstanties ingelicht, waaronder de Amerikaanse FBI en CISA.
Het advies was om de VSA-server, het product voor Kaseya-klanten om hun infrastructuur te monitoren en beheren, af te sluiten. Kaseya stelt snel tot actie te zijn overgegaan door “onmiddellijk onze SaaS-servers af te sluiten als voorzorgsmaatregel, ook al hebben we geen meldingen van compromittering ontvangen van SaaS of gehoste klanten”. Het adviseerde klanten direct hun servers af te sluiten.
Slachtoffers
Nadat vrijdag de hack bekend werd, kwamen er ook meldingen binnen van getroffen bedrijven. Zo moest in Zweden supermarktketen Coop zaterdag bijna 800 winkels sluiten. De supermarktketen gebruikte een tool om op afstand kassa’s te updaten. De aanval hierop legde de kassa’s lam, waardoor betaling niet meer mogelijk was.
En ook Nederlandse bedrijven zijn getroffen door de aanval. Volgens de NOS gaat het mogelijk om honderden Nederlandse organisaties. VelzArt uit Waardenburg, dat mkb’ers helpt IT in te richten, is getroffen en heeft honderden klanten. Maar ook bij de Udenhoutse dienstverlener Hoppenbrouwers zijn systemen geïnfecteerd geraakt.
Wat daarnaast opvalt is dat Nederlandse domeinnamen gebruikt zijn. “We hebben gezien dat voor deze aanval ook misbruik is gemaakt van een aantal Nederlandse domeinnamen. Het gaat dan om onschuldig klinkende domeinnamen, zoals ‘koken-voor-debaby.nl’ of ‘lachofikschiet.nl’, die door URL-filters niet als potentieel risicovol worden gezien. Deze domeinnamen worden gebruikt voor het draaien van command & control servers. De eigenaren van de meeste van deze domeinen zijn inmiddels gewaarschuwd”, laat Stefan van der Wal, Pre-sales consultant bij Barracuda Networks, aan Techzine weten.
Losgeld
Inmiddels is duidelijk dat de hackers die de megahack hebben opgeëist (REvil), een bedrag van 70 miljoen dollar (ongeveer 59 miljoen euro) in bitcoin vragen voor een universele decoderingssleutel. De hackers plaatsten de losgeldeis op een blog. Als de miljoenen betaald worden, stellen de hackers een sleutel online te zetten, zodat alle bestanden van de slachtoffers weer toegankelijk worden. Alles is dan binnen een uur weer hersteld, stellen ze.
17 uur geleden
