Kaseya bevestigt ransomware-aanval via VSA-software: 1000 bedrijven slachtoffer
Softwareleverancier Kaseya heeft bevestigd dat de VSA-software die het levert aan managed serviceproviders (MSP's) is gebruikt voor een wereldwijde ransomware-aanval. Daarbij zijn meer dan duizend bedrijven slachtoffer geworden. Via VSA kunnen managed serviceproviders op afstand de systemen van hun klanten beheren.
Hoe de aanval precies is uitgevoerd laat Kaseya niet weten, maar het bedrijf zegt de aanvalsvector te hebben gevonden. Eerder stelde onderzoeker Mark Loman van antivirusbedrijf Sophos dat de aanvallers via een malafide Kaseya-update de ransomware hebben verspreid. Dit wordt nu bevestigd door Cisco en Symantec. Cisco zegt dat de aanvallers gebruikmaakten van een malafide automatische update voor de VSA endpoint monitoringsoftware die uiteindelijk de REvil-ransomware installeert.
"In veel gevallen zijn tijdens netwerkgebaseerde ransomware-aanvallen ook back-upservers het doelwit, wat het belang onderstreept van het geregeld testen van een offline back-up- en herstelstrategie", aldus Joe Marshal van Cisco. Volgens securitybedrijf Huntress zijn zo'n dertig MSP's in de Verenigde Staten, Australië, Europa en Latijns-Amerika getroffen waarbij de VSA-software werd gebruikt om meer dan duizend bedrijven met ransomware te besmetten. Voor het ontsleutelen van bestanden eisen de aanvallers bedragen van tussen de 45.000 en 5 miljoen dollar.
Eerder liet Kaseya al weten dat wereldwijd minder dan veertig managed serviceproviders slachtoffer zijn geworden. Het softwarebedrijf heeft een "Compromise Detection Tool" ontwikkeld waarmee VSA-klanten kunnen controleren of hun omgeving is gecompromitteerd. De tool is op verzoek bij Kaseya verkrijgbaar. Tevens is de FBI bij het onderzoek naar de aanval betrokken. Kaseya herhaalt het advies aan MSP's om hun VSA-servers offline te houden. Dit heeft als gevolg dat het niet mogelijk is om systemen van klanten op afstand via VSA te beheren.
Reacties (22)
Van de Kaseya website:
Maar alle gekheid op een stokje, advanced ICT beheer is builden van scratch, i.e. signed open-source software downloaden en zelf compilen. Natuurlijk wel even je gcc compiler valideren :)
Kaseya’s unique position in this exploding marketplace offers you unlimited opportunity to advance your career
Maar alle gekheid op een stokje, advanced ICT beheer is builden van scratch, i.e. signed open-source software downloaden en zelf compilen. Natuurlijk wel even je gcc compiler valideren :)
een linkje naar de " Compromise Detection Tool" zou dan wel handig zijn.
In Nederland is onder andere Hoppenbrouwers getroffen. En klanten van ICT bedrijf VelzArt.
https://nos.nl/artikel/2387823-ook-in-nederland-mogelijk-honderden-bedrijven-getroffen-door-ransomware-aanval
https://nos.nl/artikel/2387823-ook-in-nederland-mogelijk-honderden-bedrijven-getroffen-door-ransomware-aanval
04-07-2021, 10:43 door
karma4
Door Anoniem: Van de Kaseya website:
Maar alle gekheid op een stokje, advanced ICT beheer is builden van scratch, i.e. signed open-source software downloaden en zelf compilen. Natuurlijk wel even je gcc compiler valideren :)
- Bedrijven besteden het IT-beheer uit een MSP-'s, kostenargument met als dat IT gezeur.Kaseya’s unique position in this exploding marketplace offers you unlimited opportunity to advance your career
Maar alle gekheid op een stokje, advanced ICT beheer is builden van scratch, i.e. signed open-source software downloaden en zelf compilen. Natuurlijk wel even je gcc compiler valideren :)
- MSP's zijn bedrijven, kostenargument, geen trek in IT gezeur.
Automatische updataes van de externe softwareleverancier.
Een auto wordt niet in onderdelen geleverd maar turnkey werkend als gesloten oplossing.
Waarom kan dat niet met ICT?
Door karma4:
- MSP's zijn bedrijven, kostenargument, geen trek in IT gezeur.
Automatische updataes van de externe softwareleverancier.
Een auto wordt niet in onderdelen geleverd maar turnkey werkend als gesloten oplossing.
Waarom kan dat niet met ICT?
Door Anoniem: Van de Kaseya website:
Maar alle gekheid op een stokje, advanced ICT beheer is builden van scratch, i.e. signed open-source software downloaden en zelf compilen. Natuurlijk wel even je gcc compiler valideren :)
- Bedrijven besteden het IT-beheer uit een MSP-'s, kostenargument met als dat IT gezeur.Kaseya’s unique position in this exploding marketplace offers you unlimited opportunity to advance your career
Maar alle gekheid op een stokje, advanced ICT beheer is builden van scratch, i.e. signed open-source software downloaden en zelf compilen. Natuurlijk wel even je gcc compiler valideren :)
- MSP's zijn bedrijven, kostenargument, geen trek in IT gezeur.
Automatische updataes van de externe softwareleverancier.
Een auto wordt niet in onderdelen geleverd maar turnkey werkend als gesloten oplossing.
Waarom kan dat niet met ICT?
Auto's zijn niet direct met elkaar verbonden. Elon Musk heeft eens uitgesproken dat voor de Tesla een nachtmerrie zou zijn als het Tesla systeem gehackt zou worden, parafraserend "A nightmare when all Tesla cars are automatically directed to show up in Washington".
Bij ICT is er een cascade aan trust-relaties, en als de software closed-source is, is het niet mogelijk (of zeer lastig) je leverancier te controleren.
Het Huntress team blijft de Kaseya VSA-aanval op de toeleveringsketen onderzoeken, die momenteel een groeiend aantal MSP's, resellers en hun klanten treft. Hun eerste openbare bevindingen en analyse zijn te vinden in deze Reddit thread. Ze blijven gedurende het onderzoek zowel deze Reddit thread als die post updaten met nieuwe informatie.
Crticial Ransomware Incident in Progress
Posted by u/huntresslab Fri Jul 02 18:43:06 GMT+0000
https://www.reddit.com/r/msp/comments/ocggbv/crticial_ransomware_incident_in_progress/
Crticial Ransomware Incident in Progress
Posted by u/huntresslab Fri Jul 02 18:43:06 GMT+0000
https://www.reddit.com/r/msp/comments/ocggbv/crticial_ransomware_incident_in_progress/
Door Anoniem: Van de Kaseya website:
Maar alle gekheid op een stokje, advanced ICT beheer is builden van scratch, i.e. signed open-source software downloaden en zelf compilen. Natuurlijk wel even je gcc compiler valideren :)
Kaseya’s unique position in this exploding marketplace offers you unlimited opportunity to advance your career
Maar alle gekheid op een stokje, advanced ICT beheer is builden van scratch, i.e. signed open-source software downloaden en zelf compilen. Natuurlijk wel even je gcc compiler valideren :)
Ja en ? Want het is dan onmogelijk dat de bron gehacked wordt en gesignede malicious toevoegingen levert ?
Door karma4:
- MSP's zijn bedrijven, kostenargument, geen trek in IT gezeur.
Automatische updataes van de externe softwareleverancier.
Een auto wordt niet in onderdelen geleverd maar turnkey werkend als gesloten oplossing.
Waarom kan dat niet met ICT?
Door Anoniem: Van de Kaseya website:
Maar alle gekheid op een stokje, advanced ICT beheer is builden van scratch, i.e. signed open-source software downloaden en zelf compilen. Natuurlijk wel even je gcc compiler valideren :)
- Bedrijven besteden het IT-beheer uit een MSP-'s, kostenargument met als dat IT gezeur.Kaseya’s unique position in this exploding marketplace offers you unlimited opportunity to advance your career
Maar alle gekheid op een stokje, advanced ICT beheer is builden van scratch, i.e. signed open-source software downloaden en zelf compilen. Natuurlijk wel even je gcc compiler valideren :)
- MSP's zijn bedrijven, kostenargument, geen trek in IT gezeur.
Automatische updataes van de externe softwareleverancier.
Een auto wordt niet in onderdelen geleverd maar turnkey werkend als gesloten oplossing.
Waarom kan dat niet met ICT?
Ja - dat is wat ASPs en SAAS doen ? Office365, en de Google Suite (en bv Salesforce) zijn precies dat - turnkey, werkend , gesloten .
Dan nog een ChromeOS terminal, en ben je wel compleet .
04-07-2021, 15:42 door
karma4
Door Anoniem:
Auto's zijn niet direct met elkaar verbonden. Elon Musk heeft eens uitgesproken dat voor de Tesla een nachtmerrie zou zijn als het Tesla systeem gehackt zou worden, parafraserend "A nightmare when all Tesla cars are automatically directed to show up in Washington".
Bij ICT is er een cascade aan trust-relaties, en als de software closed-source is, is het niet mogelijk (of zeer lastig) je leverancier te controleren.
Auto's worden via de bestuurder via verkeersregels met elkaar verbonden. Daar heeft Musk niets over te zeggen.Auto's zijn niet direct met elkaar verbonden. Elon Musk heeft eens uitgesproken dat voor de Tesla een nachtmerrie zou zijn als het Tesla systeem gehackt zou worden, parafraserend "A nightmare when all Tesla cars are automatically directed to show up in Washington".
Bij ICT is er een cascade aan trust-relaties, en als de software closed-source is, is het niet mogelijk (of zeer lastig) je leverancier te controleren.
Het vergelijk was om een vervoermiddel in losse onderdelen af te leveren zodat de bestuurder dat eerst met een ikea handleiding in elkaar moet zien te zetten.
Door Anoniem:
Ja - dat is wat ASPs en SAAS doen ? Office365, en de Google Suite (en bv Salesforce) zijn precies dat - turnkey, werkend , gesloten . Dan nog een ChromeOS terminal, en ben je wel compleet .
Reactie van de managers. Het werkt dus wat is het probleem? Turnkey betekent dat de gebruiker enkel nog het knopje hoeft te bedienen en geen kennis van de machine en constructie hoeft te hebben. Wil hij ook niet.Ja - dat is wat ASPs en SAAS doen ? Office365, en de Google Suite (en bv Salesforce) zijn precies dat - turnkey, werkend , gesloten . Dan nog een ChromeOS terminal, en ben je wel compleet .
De Russische groep REvil hackte een softwarebedrijf en kwam zo afgelopen weekend bij duizend bedrijven wereldwijd binnen. Rusland weigert iets te doen, Biden dreigt met actie. Ondertussen investeren bedrijven nog steeds veel te weinig in zelfs de meeste basale veiligheidsmaatregelen.
Zelfs de supermarkt is doelwit van Russische hackers
Analyse ‘Een van de ingrijpendste aanvallen ooit’
https://www.volkskrant.nl/nieuws-achtergrond/zelfs-de-supermarkt-is-doelwit-van-russische-hackers-een-van-de-ingrijpendste-aanvallen-ooit~bdab4527/
De DIVD vond de kwetsbaarheid eerder en meldde het. Nederland bleef daardoor veel bespaard. Kaseya was te traag.
Once Kaseya was aware of our reported vulnerabilities, we have been in constant contact and cooperation with them. [...] They showed a genuine commitment to do the right thing. Unfortunately, we were beaten by REvil in the final sprint, as they could exploit the vulnerabilities before customers could even patch.
https://csirt.divd.nl/2021/07/04/Kaseya-Case-Update-2/
Door Anoniem: een linkje naar de " Compromise Detection Tool" zou dan wel handig zijn.
Die bestaat, maar die is er alleen voor klanten zover ik weet.Welke idioten hebben het verzonnen om permanent I.T. systemen op afstand te kunnen monitoren.
Kwetsbaar opstellen schijnt tot kunst verheven te zijn.
De mogelijkheid dat bedrijven kontje/kontje spelen met de "would be " afpersers zal wel niet in het ideale plaatje passen.
Beveiliging mag nog steeds niets kosten, alles moet zo goedkoop mogelijk, gevolg, eigen schuld, dikke bult.
Een volledige parallelle off-line copy van het gehele bedrijfssysteem, zoals ik doe zal wel een brug te ver zijn.
Wie mijn advies opvolgt moet de zekerheid hebben dat de werknemers die het off-line systeem onderhouden, uiterst betrouwbaar zijn.
Beter doe je alles zelf ( 24/365 )
Kwetsbaar opstellen schijnt tot kunst verheven te zijn.
De mogelijkheid dat bedrijven kontje/kontje spelen met de "would be " afpersers zal wel niet in het ideale plaatje passen.
Beveiliging mag nog steeds niets kosten, alles moet zo goedkoop mogelijk, gevolg, eigen schuld, dikke bult.
Een volledige parallelle off-line copy van het gehele bedrijfssysteem, zoals ik doe zal wel een brug te ver zijn.
Wie mijn advies opvolgt moet de zekerheid hebben dat de werknemers die het off-line systeem onderhouden, uiterst betrouwbaar zijn.
Beter doe je alles zelf ( 24/365 )
Mensen, val niet in slaap.
De volgende stap is een fake alien invasion en het uitfaseren van contant geld
De volgende stap is een fake alien invasion en het uitfaseren van contant geld
Door W.T.: Welke idioten hebben het verzonnen om permanent I.T. systemen op afstand te kunnen monitoren.
Kwetsbaar opstellen schijnt tot kunst verheven te zijn.
Kwetsbaar opstellen schijnt tot kunst verheven te zijn.
Nou ja zeg! Dat op afstand monitoren - vooraf in overleg besproken - kan heel zinvol zijn (b.v. om een betere up-time te kunnen garanderen). Maar je moet in dat soort (semi-)professionele context geen closed source software voor lichte consumententoepassingen gebruiken (want dan stel je jezelf inderdaad meteen vanaf het begin wel erg kwetsbaar op). Op z'n minst wil je zien wat er onder de motorkap van de software gebeurt, bij dit soort toepassingen (open source dus). Nee, je hoeft dan niet elke regel broncode zelf te gaan doornemen en te begrijpen. Dat hoef je ook niet te laten doen. Dat die mogelijkheid van inzage er is en omdat alle wijzigingen op de broncode worden bijgehouden met versiebeheer, dat alleen al voorkomt veel laksheid m.b.t. robuustheid en veiligheid.
Door W.T.: Welke idioten hebben het verzonnen om permanent I.T. systemen op afstand te kunnen monitoren.
Kwetsbaar opstellen schijnt tot kunst verheven te zijn.
Als ik het beheer van mijn ICT infra uitbesteed, dan wil ik dat mijn leverancier ook 24/7 inspringt op problemen, en niet pas als ik hem ga bellen dat mijn eindgebruikers niet meer in kunnen loggen. Permanent monitoren is voor een 24/7 omgeving absoluut noodzakelijk.Kwetsbaar opstellen schijnt tot kunst verheven te zijn.
Een volledige parallelle off-line copy van het gehele bedrijfssysteem, zoals ik doe zal wel een brug te ver zijn.
Wie mijn advies opvolgt moet de zekerheid hebben dat de werknemers die het off-line systeem onderhouden, uiterst betrouwbaar zijn.
Beter doe je alles zelf ( 24/365 )
Ik weet niet hoe jouw omgeving eruit ziet, maar voor een beetje omgeving is dit inderdaad al vrij vlot niet te doen.Wie mijn advies opvolgt moet de zekerheid hebben dat de werknemers die het off-line systeem onderhouden, uiterst betrouwbaar zijn.
Beter doe je alles zelf ( 24/365 )
05-07-2021, 09:14 door
Briolet
Door Toje Fos:
Nou ja zeg! Dat op afstand monitoren - vooraf in overleg besproken - kan heel zinvol zijn (b.v. om een betere up-time te kunnen garanderen). …
Door W.T.: Welke idioten hebben het verzonnen om permanent I.T. systemen op afstand te kunnen monitoren.
Kwetsbaar opstellen schijnt tot kunst verheven te zijn.
Kwetsbaar opstellen schijnt tot kunst verheven te zijn.
Nou ja zeg! Dat op afstand monitoren - vooraf in overleg besproken - kan heel zinvol zijn (b.v. om een betere up-time te kunnen garanderen). …
Als je dit extern uitbesteed, zorg je er toch voor dat je in de firewall regelt dat alleen het IP adres van het monitorende bedrijf toegang heeft.
Al die kleine @#$@#$@ bedrijfjes met hun @#$@#$@# shitty designed tools, omdat ze allemaal studentjes aan het coden zetten waartegen je niet mag zeggen dat ze pruts werk leveren want dan gaan ze huilen.
Die domme management methode waarbij je je niet critisch mag uiten, heeft nu als resultaat bagger prestaties en een 'cancel' cultuur.
Die domme management methode waarbij je je niet critisch mag uiten, heeft nu als resultaat bagger prestaties en een 'cancel' cultuur.
Ransomware artiesten delen ook slachtoffer info met mogelijke concurrenten en stakeholders in de markt.. Het zijn net business lui.
Door Anoniem: Al die kleine @#$@#$@ bedrijfjes met hun @#$@#$@# shitty designed tools, omdat ze allemaal studentjes aan het coden zetten waartegen je niet mag zeggen dat ze pruts werk leveren want dan gaan ze huilen.
Die domme management methode waarbij je je niet critisch mag uiten, heeft nu als resultaat bagger prestaties en een 'cancel' cultuur.
Die gladde managers zijn wel weer zo dat ze deze studenten weer de schuld geven. Verantwoordelijkheid nemen ho maar maar wel het geld opstrijken.Die domme management methode waarbij je je niet critisch mag uiten, heeft nu als resultaat bagger prestaties en een 'cancel' cultuur.
Door Toje Fos:
Nou ja zeg! Dat op afstand monitoren - vooraf in overleg besproken - kan heel zinvol zijn (b.v. om een betere up-time te kunnen garanderen). Maar je moet in dat soort (semi-)professionele context geen closed source software voor lichte consumententoepassingen gebruiken (want dan stel je jezelf inderdaad meteen vanaf het begin wel erg kwetsbaar op). Op z'n minst wil je zien wat er onder de motorkap van de software gebeurt, bij dit soort toepassingen (open source dus). Nee, je hoeft dan niet elke regel broncode zelf te gaan doornemen en te begrijpen. Dat hoef je ook niet te laten doen. Dat die mogelijkheid van inzage er is en omdat alle wijzigingen op de broncode worden bijgehouden met versiebeheer, dat alleen al voorkomt veel laksheid m.b.t. robuustheid en veiligheid.
Diverse open source monitor systemen zullen vast nog aan de beurt komen maar hebben een groot voordeel. Het draait niet als root en hierdoor zullen de servers niet versleuteld worden zoals onder gangbare consumenten softwareDoor W.T.: Welke idioten hebben het verzonnen om permanent I.T. systemen op afstand te kunnen monitoren.
Kwetsbaar opstellen schijnt tot kunst verheven te zijn.
Kwetsbaar opstellen schijnt tot kunst verheven te zijn.
Nou ja zeg! Dat op afstand monitoren - vooraf in overleg besproken - kan heel zinvol zijn (b.v. om een betere up-time te kunnen garanderen). Maar je moet in dat soort (semi-)professionele context geen closed source software voor lichte consumententoepassingen gebruiken (want dan stel je jezelf inderdaad meteen vanaf het begin wel erg kwetsbaar op). Op z'n minst wil je zien wat er onder de motorkap van de software gebeurt, bij dit soort toepassingen (open source dus). Nee, je hoeft dan niet elke regel broncode zelf te gaan doornemen en te begrijpen. Dat hoef je ook niet te laten doen. Dat die mogelijkheid van inzage er is en omdat alle wijzigingen op de broncode worden bijgehouden met versiebeheer, dat alleen al voorkomt veel laksheid m.b.t. robuustheid en veiligheid.
Wie zit er op deze jarenlang verborgen kwetsbaarheden? Maar oh wee Kaspersky detecteerde ineens wat gewoonlijk niet gedetecteerd wordt door AV. De boot was aan. Wie hebben al het geld om dit uit te kunnen voeren? Wat mocht MacAfee niet openbaren? Wie stuurt deze grote digitale ontwrichting aan? WEF waarschuwt. Zit er iets in de 'pipeline'? Veel vragen en nog weinig antwoorden. Wie licht een tipje van de sluier op? Versluiering voor een op handen zijnde krach?
luntrus
luntrus
06-07-2021, 16:38 door
karma4
Door Anoniem:
Diverse open source monitor systemen zullen vast nog aan de beurt komen maar hebben een groot voordeel. Het draait niet als root en hierdoor zullen de servers niet versleuteld worden zoals onder gangbare consumenten software
De nas systemen van WD bijvoorbeeld? Zie ik ook slimme camera's weer langskomen met de opvolger van mirai.Diverse open source monitor systemen zullen vast nog aan de beurt komen maar hebben een groot voordeel. Het draait niet als root en hierdoor zullen de servers niet versleuteld worden zoals onder gangbare consumenten software
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
