Ransomware via supply chain raakt minstens 1000 bedrijven

De grootschalige afpersingsaanval, die nog altijd gaande is, wordt toegewezen aan de REvil-bende die gelinkt is aan Rusland. IT-beveiligingsbedrijf Huntress Labs is ontdekker van deze ransomwaregolf, die mogelijk de grootste ooit is. Persbureau ANP weet te melden dat minstens 1000 bedrijven zijn getroffen.

Advies: uitschakelen

Het Nationaal Cyber Security Centrum roept bedrijven op het Kaseya-product VSA, dat gebruikt wordt voor beheer op afstand, uit te schakelen. De leverancier zelf heeft ook dat advies gegeven én heeft zijn eigen SaaS-dienst offline gehaald. Volgens Kaseya heeft zijn cloudaanbod weliswaar geen gevaar gelopen, maar heeft het uit voorzorg gehandeld.

VSA is breed in gebruik bij dienstverleners die managed services bieden voor beheer van de ICT-omgevingen bij bedrijven van alle soorten en maten. De softwareleverancier verklaart te weten welke kwetsbaarheid de cybercriminelen hebben uitgebuit en zegt snel met een patch te komen. Het is de vraag of en hoe dat helpt voor de klanten van Kaseya's klanten die hun IT-beheer dus hebben uitbesteed, en die mogelijk dit weekend niet al hebben gereageerd op de dreiging. In de Verenigde Staten speelt ook nog de nationale feestdag van 4 juli.

Via-via

Ontdekker Huntress Labs heeft verschillende zogeheten managed service providers (dienstverleners) geïdentificeerd die kampen met ransomware-incidenten. Die maken allemaal gebruik van VSA. Volgens het cyberbeveiligingsbedrijf zijn minstens 1000 bedrijven, die klant zijn bij deze managed service providers, door de hack getroffen.

Het losgeld dat de afpersers vragen, loopt volgens Huntress Labs uiteen van enkele tienduizenden dollars tot wel 5 miljoen dollar. De hoogte van het bedrag is afhankelijk van hoe diep de ransomware is doorgedrongen in de IT-omgeving van Kaseya-klanten én hun klanten.

Zeker 17 landen

Huntress Labs verwacht dat het aantal getroffen bedrijven nog sterk zal oplopen. Security-onderzoeker Aryeh Goretsky van IT-beveiligingsleverancier ESET heeft tegen persbureau Bloomberg gezegd dat de cyberaanval tot dusver in 17 landen slachtoffers heeft gemaakt. Daaronder bevinden zich naast Nederland ook het Verenigd Koninkrijk, Zuid-Afrika, Canada, Argentinië, Mexico en Spanje.

CEO Andrew Howard van het Zwitserse Kudelski Security verklaart tegenover Bloomberg dat deze ransomware-aanval een van de ingrijpendste - niet door een staat uitgevoerde - aanvallen ooit is. "En het lijkt puur bedoeld om geld afhandig te maken." Dat financiële doel gaat nu samen met flinke verstoring van uiteenlopende bedrijven in diverse sectoren, door de sluw gekozen aanvalsroute via beheersoftware. Volgens Howard is er haast geen betere manier om malware te verspreiden dan via vertrouwde ICT-dienstverleners.

Na vlees en olie

Experts hebben de groep achter deze grootschalige aanval geïdentificeerd als REvil. Diezelfde ransomwarebende zat in wezen ook achter de hack bij vleesverwerkingsbedrijf JBS. Daardoor is vorige maand een aanzienlijk deel van de Amerikaanse vleesverwerkingsindustrie stilgelegd. Het bedrijf heeft 11 miljoen dollar losgeld betaald in virtuele valuta, wat deels door de FBI is 'onderschept' en teruggehaald.

De ransomware-infectie bij JBS kwam niet lang na een grote cyberaanval op het Amerikaanse Colonial Pipeline. Daarbij is het facturatiesysteem van die olievervoerder gegijzeld waardoor het bedrijf zelf een belangrijke oliepijplijn tijdelijk heeft platgelegd. Dat heeft weer gezorgd voor tekorten aan benzine bij tankstations en flinke stijgingen van de brandstofprijzen in de VS. Ook hiervan worden Russische hackers verdacht, met de naam DarkSide.