De gevolgen van ‘s werelds grootste ransomware-aanval duurt voort

Boston (AFP) – De grootste enkele ransomware-aanval tot nu toe ging maandag verder toen er meer details naar voren kwamen over hoe een aan Rusland gelieerde bende het exploitbedrijf heeft gehackt. Kortom, criminelen hebben een hulpmiddel gebruikt dat helpt beschermen tegen malware om het wereldwijd te verspreiden.

Duizenden organisaties – voornamelijk bedrijven die de IT-infrastructuur van anderen op afstand beheren – in zeker 17 landen raakten gewond bij de aanval van vrijdag. Ze behoren tot de velen die net weer aan het werk zijn, zei Kassiya, wiens product werd uitgebuit, op maandag.

Sinds de aanval door de beruchte REvil-bende kwam toen het lange weekend van 4 juli begon, wordt verwacht dat meer slachtoffers hun lot zullen kennen wanneer ze dinsdag terugkeren naar kantoor.

REvil is berucht voor het afpersen van $ 11 miljoen van JBS vleesverwerker vorige maand. Beveiligingsonderzoekers zeiden dat het vermogen om malwarebeschermingsmaatregelen bij deze aanval te omzeilen en de schijnbare exploitatie van een voorheen onbekende kwetsbaarheid op de servers van Kaseya de groeiende financiële macht van REvil en tientallen andere ransomware-bendes weerspiegelt wiens succes het helpt om de beste digitale diefstal te weerstaan. uitrusting. Dergelijke criminelen infiltreren en verlammen netwerken door gegevens te vermengen en hun slachtoffers te chanteren.

REvil eiste betalingen van $ 5 miljoen van managed service providers die het belangrijkste einddoel van deze aanval waren, en lijkt veel minder – slechts $ 45.000 – te vragen van de getroffen klanten.

Maar eind zondag bood het zijn donkere website aan om een ​​universele decoderingstool te leveren die alle getroffen apparaten zou decoderen als het $ 70 miljoen aan cryptocurrency zou uitbetalen. Sommige onderzoekers beschouwden de show als een public relations-stunt, terwijl anderen dachten dat het erop wees dat criminelen meer slachtoffers hadden dan ze aankonden.

Zweden is misschien wel het hardst getroffen – of in ieder geval het meest transparant over de schade. Minister van Defensie, Peter Holtqvist, klaagde in een tv-interview “hoe kwetsbaar het systeem is als het gaat om IT-beveiliging.” De meeste van de 800 winkels van de Zweedse supermarktketen Coop gingen voor een derde dag dicht en de kassa’s waren verlamd. Ook een Zweedse apotheekketen, een keten van benzinestations, een staatsspoorlijn en de openbare omroep SVT werden gebombardeerd.

Cyberbeveiligingsbedrijf Sophos zei dat een breed scala aan bedrijven en openbare instanties werd getroffen, waaronder financiële diensten en reizen, maar dat een paar grote bedrijven werden getroffen. Het Verenigd Koninkrijk, Zuid-Afrika, Canada, Argentinië, Mexico, Indonesië, Nieuw-Zeeland en Kenia behoorden tot de getroffen landen, aldus onderzoekers.

In een verklaring op zondag riep de Amerikaanse plaatsvervangend nationale veiligheidsadviseur Anne Neuberger alle slachtoffers op om de FBI te waarschuwen. Een dag eerder zei de FBI in een waarschuwing dat de omvang van de aanval “het mogelijk maakt dat het niet in staat is om op individuele slachtoffers te reageren”.

De overgrote meerderheid van de slachtoffers van ransomware durft het niet publiekelijk toe te geven, en velen vermijden het om aanvallen aan de politie te melden of te onthullen of ze losgeld betalen, tenzij dit wettelijk vereist is.

President Joe Biden zei zaterdag dat hij opdracht had gegeven tot een “diepe duik” door de Amerikaanse inlichtingendienst in de aanval en dat de Verenigde Staten zouden reageren als ze zouden vaststellen dat het Kremlin erbij betrokken was. Vorige maand probeerde Biden in Genève de Russische president Vladimir Poetin onder druk te zetten om een ​​einde te maken aan de veilige haven van REvil en andere ransomware-bendes die straffeloos opereren in Rusland en aanverwante landen, zolang ze binnenlandse doelen vermijden. De aanvallen van afpersers zijn het afgelopen jaar verergerd.

Poetins woordvoerder, Dmitry Peskov, werd maandag gevraagd of Rusland op de hoogte was van de aanval of erover had nagedacht. Hij zei nee, maar suggereerde dat ze zouden kunnen worden besproken tijdens het Amerikaans-Russische overleg over cyberbeveiligingskwesties. Er is geen datum vastgesteld voor dergelijk overleg, en weinig analisten verwachten dat het Kremlin een golf van misdaad zal bedwingen die de strategische doelen van Poetin, namelijk het destabiliseren van het Westen, ten goede komt.

Kaseya zei maandag dat minder dan 70 van zijn 37.000 klanten werden getroffen, hoewel de meeste managed service providers waren met veel downstream-klanten. De meeste managed service providers waren klaar om te zien of ze maandag waren geïnfecteerd, zei Ross McKershare, chief information security officer van Sophos, maar dat dit misschien niet het geval is voor de vele kleine en middelgrote organisaties die ze bedienen. MSP’s vliegen blind omdat dezelfde softwaretool die ze gebruiken om klantnetwerken te bewaken, door de aanval is vernietigd.

De door Kaseya gehackte tool, VSA, onderhoudt externe clientnetwerken en automatiseert software-updates en andere beveiliging.

In een maandagrapport over de aanval zei Sophos dat de VSA-server was gecompromitteerd met behulp van wat leek op “zero-day”, de industriële term voor een voorheen onbekende kwetsbaarheid. Net als andere cyberbeveiligingsbedrijven heeft Kaseya de fout gemaakt om aanvallers te helpen door klanten te vragen geen “werkende” mappen op bedrijfsterreinen te controleren op malware. Vanuit deze mappen kan de REvil-code onopgemerkt blijven om de rapportagetools voor malware en ransomware van Microsoft Defender uit te schakelen.

Sophos zei dat REvil bij deze aanval geen poging deed om gegevens te stelen. Ransomware-bendes doen dit meestal voordat de ransomware wordt geactiveerd, zodat ze kunnen dreigen deze online te dumpen, tenzij ze worden betaald. Deze aanval was schijnbaar alleen maar botten, alleen onleesbare gegevens.

In het interview van zondag wilde Fred Fukula, CEO van Kaseya, het gebruik van zero-day niet bevestigen of details over de inbreuk geven – behalve om te zeggen dat het geen phishing was en dat hij er zeker van is dat wanneer het onderzoek is voltooid door het cyberbeveiligingsbedrijf, het zal laten zien dat niet alleen Kaseya, maar ook software van derden door aanvallers wordt gehackt.

Associated Press-verslaggevers Jim Haynes in Moskou en Jan Olsen in Stockholm hebben bijgedragen aan dit rapport.