Legendary Hacks #5: Kaseya, den viktigaste attacken för ransomware i leveranskedjan hittills

 Vad är en ransomware-attack i leveranskedjan?

Leveranskedjan samlar flera professionella aktörer och försöker få dem att samarbeta så bra som möjligt. De huvudsakliga aktörerna i leveransskedjan är: producenter, leverantörer, fabriker, distributörer, kunder och logistikleverantörer.

En leveranskedjeattack innebär att illvilliga aktörer hittar en sårbarhet i en organisations nätverk, bäddar in skadlig kod i en mjukvaruuppdatering och automatiskt skickar ut den till kunder i leveranskedjan.

Den 2 juli, under USA:s självständighetshelg, meddelade den USA-baserade nätverksprogramvaruleverantören Kaseya att dess infrastruktur hade äventyrats och bad omedelbart ett antal av sina kunder att stänga av sina system.

Attacken, kopplad till den ryska ransomware-gruppen REvil (även kallad Sodinokibi), infiltrerade Kaseyas programvara Virtual Systems Administrator (VSA), utformad för att fjärrstyra en organisations kompletta infrastruktur. REvil är en av de mest produktiva hotaktörsgrupperna, med flest offer under 2021.

Den första inträdet gjordes med hjälp av en "zero day" sårbarhet i Kaseyas VSA-programvara (används för fjärrhantering och kontroll). Detta gjorde det möjligt för angriparna att utföra kommandon på VSA-enheten. Det verkar som om en automatisk uppdatering i VSA användes för att skjuta ut lösenprogramvaran. REvil krävde en lösensumma, ransomware, på 70 miljoner dollar i denna attack från Kaseya och tusentals dollar från enskilda offer.

Det var desto viktigare eftersom attacken gjordes via en pålitlig kanal. Kaseyas kunder är kontrakterade för "managed service providers (MSP)", för att fjärrhantera IT-drift åt organisationer. Detta utökade attacklandskapet avsevärt. Dessutom riktade de angriparna sig direkt på programvara som användes för att skydda kunder från skadliga attacker.

Kaseya meddelade att mellan 800 och 1 000 företag drabbades globalt av attacken, inklusive skolor i Nya Zeeland och "Coop" stormarknader i Sverige, nedströms kunder till de drabbade MSP:erna.

Kaseya startade snabbt en återställningsprocess för att åtgärda problemet i sin VSA. Den 3 juli släppte Kaseya ett kompromissdetekteringsverktyg till sina kunder. Verktyget analyserar användarens system, vare sig det är VSA-server eller managerad klient, endpoint, och avgör om indikatorer på kompromiss (IOC) finns. Hittills har 2 000 kunder laddat ner verktyget. Kaseya släppte även patchar för att fixa sårbarheten i VSA.

Flera veckor efter attacken bekräftade Kaseya att de hade skaffat en dekrypteringsnyckel för att låsa upp hundratals filer som tillhörde attackerade företag. För många kom det för sent eftersom de redan hade satt igång återställningsprocesser för att hämta sina data eller hade betalat lösensumman.