Search

Legendary Hacks #5: Kaseya, den viktigaste attacken för ransomware i leveranskedjan hittills

När en patch leder till en världsomspännande attack och en lösensumma, ransomeware, på 70 miljoner dollar.

 Vad är en ransomware-attack i leveranskedjan?

 

Leveranskedjan samlar flera professionella aktörer och försöker få dem att samarbeta så bra som möjligt. De huvudsakliga aktörerna i leveransskedjan är: producenter, leverantörer, fabriker, distributörer, kunder och logistikleverantörer.

A supply chain attack involves malicious actors finding a vulnerability in an organization’s network, embedding malicious code into a software update, and automatically pushing it out to customers in the supply chain.

En leveranskedjeattack innebär att illvilliga aktörer hittar en sårbarhet i en organisations nätverk, bäddar in skadlig kod i en mjukvaruuppdatering och automatiskt skickar ut den till kunder i leveranskedjan.

Kaseya-organisationen

Den 2 juli, under USA:s självständighetshelg, meddelade den USA-baserade nätverksprogramvaruleverantören Kaseya att dess infrastruktur hade äventyrats och bad omedelbart ett antal av sina kunder att stänga av sina system.

Attacken, kopplad till den ryska ransomware-gruppen REvil (även kallad Sodinokibi), infiltrerade Kaseyas programvara Virtual Systems Administrator (VSA), utformad för att fjärrstyra en organisations kompletta infrastruktur. REvil är en av de mest produktiva hotaktörsgrupperna, med flest offer under 2021.

Den första inträdet gjordes med hjälp av en "zero day" sårbarhet i Kaseyas VSA-programvara (används för fjärrhantering och kontroll). Detta gjorde det möjligt för angriparna att utföra kommandon på VSA-enheten. Det verkar som om en automatisk uppdatering i VSA användes för att skjuta ut lösenprogramvaran. REvil krävde en lösensumma, ransomware, på 70 miljoner dollar i denna attack från Kaseya och tusentals dollar från enskilda offer.

Det var desto viktigare eftersom attacken gjordes via en pålitlig kanal. Kaseyas kunder är kontrakterade för "managed service providers (MSP)", för att fjärrhantera IT-drift åt organisationer. Detta utökade attacklandskapet avsevärt. Dessutom riktade de angriparna sig direkt på programvara som användes för att skydda kunder från skadliga attacker.

Kaseya meddelade att mellan 800 och 1 000 företag drabbades globalt av attacken, inklusive skolor i Nya Zeeland och "Coop" stormarknader i Sverige, nedströms kunder till de drabbade MSP:erna.

Kaseya startade snabbt en återställningsprocess för att åtgärda problemet i sin VSA. Den 3 juli släppte Kaseya ett kompromissdetekteringsverktyg till sina kunder. Verktyget analyserar användarens system, vare sig det är VSA-server eller managerad klient, endpoint, och avgör om indikatorer på kompromiss (IOC) finns. Hittills har 2 000 kunder laddat ner verktyget. Kaseya släppte även patchar för att fixa sårbarheten i VSA.

Flera veckor efter attacken bekräftade Kaseya att de hade skaffat en dekrypteringsnyckel för att låsa upp hundratals filer som tillhörde attackerade företag. För många kom det för sent eftersom de redan hade satt igång återställningsprocesser för att hämta sina data eller hade betalat lösensumman.

Lärdomar från Kaseya-attack

Den här typen av attack kunde ha hänt vem som helst. För att inse det är det viktigt att regelbundet gå igenom åtgärdsplanerna för incidenter. Detta inkluderar att regelbundet utvärdera verktyg i säkerhetsstacken för att säkerställa att de kan hantera nya hot.

Precis som Kaseya kom inte SolarWinds från tomma intet. Det är den oundvikliga konsekvensen av en kraftfull uppsättning systemfaktorer som tillsammans producerar ett klimat som till sin natur är flyktigt men som fortfarande kan förutsägas. Även om prognoser för en specifik dag kan misslyckas, drivs den allmänna tendensen av kända krafter och system. Läs mer i vårt white paper om orsakerna och konsekvenserna av SolarWinds.

Ladda ner white paper

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.