image

Nederlandse bedrijven getroffen door ransomware-aanval via Kaseya-software

zondag 4 juli 2021, 22:55 door Redactie, 10 reacties
Laatst bijgewerkt: 04-07-2021, 23:07

Ook in Nederland en België zijn organisaties getroffen door de wereldwijde ransomware-aanval via de VSA-software van het bedrijf Kaseya. Het aantal via internet toegankelijke Kaseya-servers in Nederland is inmiddels gedaald naar nul. Eén van de getroffen ondernemingen is technisch dienstverlener Hoppenbrouwers Techniek.

Het bedrijf meldt via de eigen website dat het slachtoffer is geworden. "Gisteravond is geconstateerd dat wij getroffen zijn door een grootschalige cyberaanval. De aanval is binnengekomen via onze Kaseya software. Er is geen menselijke fout gemaakt door onze collega’s. De consequenties van deze aanval zijn nog niet bekend", aldus de verklaring.

Eerder meldde securitybedrijf Huntress dat meer dan duizend bedrijven die hun systemen via de VSA-software door managed serviceproviders laten beheren met ransomware besmet zijn geraakt. Zo zag de Zweedse supermarktketen Coop zich genoodzaakt om achthonderd supermarkten te sluiten.

Een ander bedrijf dat met de aanval te kampen heeft is de Nederlandse it-dienstverlener VelzArt. "Een bericht waarvan we gehoopt hadden nooit te hoeven versturen: een wereldwijde ransomware aanval zorgt sinds gisterenavond voor grote problemen bij onze klanten", schrijft het bedrijf op de eigen website in een blogposting over de aanval.

VelzArt heeft honderden klanten. Het maakt sinds 2010 gebruik van software van Kaseya voor het beheren en onderhouden van computersystemen bij klanten. Hoeveel systemen van deze klanten via de aanval besmet zijn geraakt is onbekend. "Besmette systemen komen tot nu toe voor in verschillende varianten. Sommige systemen zijn volledig ontoegankelijk, met andere systemen kan nog gewerkt worden", meldt VelzArt. Het bedrijf laat vandaag weten dat voor systemen waarvan inmiddels vaststaat dat ze besmet zijn gestart kan worden met een resetprocedure.

Het Dutch Institute for Vulnerability Disclosure (DIVD), dat de kwetsbaarheden ontdekte die de aanvallers bij deze aanval gebruiken en Kaseya waarschuwde, hebben ook organisaties met VSA-servers geïnformeerd. Dit lijkt zeer succesvol, aldus cijfers van het instituut. Het aantal VSA-servers toegankelijk vanaf het internet is inmiddels gedaald van 2200 naar 140. In Nederland daalde het aantal zelfs naar nul.

België

Naast Nederlandse organisaties is ook de Belgische managed serviceprovider (MSP) ITxx getroffen. Door de aanval konden aanvallers alle data en e-mail van het bedrijf en van vijftig lanten van het bedrijf versleutelen. "Daardoor hebben klanten van ITxx momenteel geen toegang tot hun data", zo laat de MSP weten. "We betreuren het dat onze klanten met ons het slachtoffer worden van deze cybercriminelen. We werken met man en macht om deze situatie zo snel mogelijk af te wikkelen, zodat onze klanten hun werkzaamheden kunnen hervatten", zegt Philippe Van Cauwenbergh van ITxx.

Reacties (10)
05-07-2021, 07:21 door Anoniem
Rijst de vraag hoe REvil de hack zo kort voor de beschikbaarheid van de patch tegen de VSA kwetsbaarheid kon timen.
05-07-2021, 09:39 door Anoniem
Dit wordt toch wel een zorgwekkende ontwikkeling.

Door het besmetten van de tussenpersoon omzeil je een aantal stappen, en duik je direct het systeem in.
Niemand verwacht een aanval uit deze hoek.

Hoe kun je je als bedrijf hier nu goed tegen beveiligen?
05-07-2021, 10:53 door Anoniem
Door Anoniem:
Door het besmetten van de tussenpersoon omzeil je een aantal stappen, en duik je direct het systeem in.
Niemand verwacht een aanval uit deze hoek.
Volgens mij verwacht je juist wel een aanval uit deze hoek. Met het hacken van zo'n tussenpersoon zit je meteen in de systemen van honderden of duizenden afnemers. Dat is veel efficienter dan allemaal losse hacks...
05-07-2021, 10:57 door Anoniem
Door Anoniem: Dit wordt toch wel een zorgwekkende ontwikkeling.

Door het besmetten van de tussenpersoon omzeil je een aantal stappen, en duik je direct het systeem in.
Niemand verwacht een aanval uit deze hoek.

Hoe kun je je als bedrijf hier nu goed tegen beveiligen?

Dit soort aanvallen bestaat al langer en is verontrustend. Nu kan je niet meer de oorzaak leggen bij phishing en een individu. Infiltratie bij leveranciers en manipulatie van leverancierssoftware is een dreiging die serieuzer genomen moet worden.
05-07-2021, 11:03 door Anoniem
Er zijn miljoenen systemen geinfecteerd volgens de blog van Revil
05-07-2021, 11:08 door Anoniem
Waarschuw eerst alle kwetsbare bedrijven en ga dan werken aan een oplossing met de software ontwikkelaar. Wees niet overtuigd dat de kwetsbaarheid onder de pet gehouden kan worden, daarvoor kan er te veel geld met exploits verdiend worden... DIVD moet hier ook lering uit trekken, eerst waarschuwen van klanten, dan pas aan een oplossing werken.
05-07-2021, 13:58 door Anoniem
Door Anoniem:
Door Anoniem:
Door het besmetten van de tussenpersoon omzeil je een aantal stappen, en duik je direct het systeem in.
Niemand verwacht een aanval uit deze hoek.
Volgens mij verwacht je juist wel een aanval uit deze hoek. Met het hacken van zo'n tussenpersoon zit je meteen in de systemen van honderden of duizenden afnemers. Dat is veel efficienter dan allemaal losse hacks...

Nee, Als klant verwacht je niet dat je leverancier een hack jouw kant opstuurt.
Als je je leverancier al niet kunt vertrouwen, dan wordt het hele proces wel erg paranoïde ;)
05-07-2021, 16:15 door SimonS
Het wordt steeds erger. alle systemen van het internet halen dan maar? ook geen oplossing denk ik.

Overigens @redactie: "Door de aanval konden aanvallers alle data en e-mail van het bedrijf en van vijftig lanten van het bedrijf versleutelen"
lanten? klanten denk ik
06-07-2021, 00:37 door Anoniem
Door Anoniem: Rijst de vraag hoe REvil de hack zo kort voor de beschikbaarheid van de patch tegen de VSA kwetsbaarheid kon timen.
Ja waarom vraagt niemand dit zich af? Hoe waren zij op de hoogte van dit lek?
06-07-2021, 08:43 door _R0N_
Door Anoniem:

Nee, Als klant verwacht je niet dat je leverancier een hack jouw kant opstuurt.
Als je je leverancier al niet kunt vertrouwen, dan wordt het hele proces wel erg paranoïde ;)

Ik denk dat je daar juist vanuit moet gaan. Je gaat er ook vanuit dat je medewerkers een fuckup maken. Volgens jouw stelling vertrouw je de leverancier boven je medewerkers.

Hoe makkelijker je je werk maakt door te automatiseren hoe makkelijker het stuk gaat.
Als je updates automatisch uitrolt loop je altijd het risico dat de update misbruikt wordt voor de verspreiding van ongewenste code.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.