‘1.500 bedrijven slachtoffer van supply chain aanval REvil’

Close up van handen op een laptop met lichten op de achtergrond

Wereldwijd zijn er tussen de 800 en 1.500 bedrijven en organisaties het slachtoffer geworden van de ketenaanval die afgelopen vrijdag werd uitgevoerd door de hackers van REvil. De precieze omvang en wat de schade is die de Russische hackers hebben veroorzaakt, is vooralsnog onbekend. Of Kaseya onderhandelt met de aanvallers is eveneens onduidelijk.

Fred Voccola, de CEO van IT-dienstverlener Kaseya, doet een boekje open tegenover persbureau Reuters over de supply chain aanval.

Aantal slachtoffers supply chain aanval loopt hard op

Naarmate de tijd verstrijkt, komen we steeds meer te weten over de cyberaanval van REvil. Deze werd vrijdagavond Nederlandse tijd wereldwijd gelanceerd. De aanvallers maakten misbruik van een zero day exploit in VSA. Dat is software die door duizenden ICT-dienstverleners wereldwijd wordt gebruikt om servers en computersystemen van klanten op afstand te beheren. Door deze kwetsbaarheid stond de deur wagenwijd open om ransomware te installeren. De gijzelsoftware zorgde ervoor dat systemen op slot gingen en data niet langer toegankelijk was voor medewerkers.

We wisten al dat dat er honderden bedrijven en organisaties de dupe waren geworden van het lek. Zo sloot de supermarktketen Coop in Zweden noodgedwongen honderden filialen, omdat het kassasysteem eruit lag. In Nieuw-Zeeland konden scholen en kinderopvanglocaties als gevolg van de aanval hun diensten niet aanbieden. In totaal zijn er in 17 landen slachtoffers gevallen, waaronder in Nederland.

De directeur van Kaseya vertelt tegenover Reuters dat er tussen de 800 en 1.500 instanties getroffen zijn door de supply chain aanval. Of daarbij vitale organisaties als providers of banken het doelwit zijn geworden, kan Voccola niet zeggen. “We kijken niet naar de kritieke infrastructuur. Dat is niet onze taak. We zijn niet verantwoordelijk voor het netwerk van AT&T, of de noodlijnen van alarmdiensten”, ze vertelt de topman aan Reuters.

CEO wil niets kwijt over mogelijk betalen van losgeld

Een ander heikel punt waar Voccola weinig over kwijt wil, is het losgeld. REvil plaatste zondagavond op het dark web een bericht dat ze bereid waren om een universele decoderingssleutel te publiceren. Daarmee zijn de getroffen bedrijven en organisaties ‘binnen een uur’ weer operationeel. Voor de decryptor eist de hackersgroep 70 miljoen dollar in bitcoin. Een anonieme hacker vertelt tegenover Reuters dat REvil bereid is om het openingsbod te verlagen. “We staan altijd open voor onderhandelingen”, aldus de hacker.

Of Voccola bereid is om in te gaan op het aanbod van de hackers, wilde hij niet zeggen. “Ik kan die vraag niet met ‘ja’, ‘nee’ of ‘misschien’ beantwoorden. Ik zeg niets over mogelijke onderhandelingen met terroristen.” De CEO wilde tevens niet ingaan op de vraag of vertegenwoordigers van het Witte Huis, de FBI of CISA hem geadviseerd hadden om niet te betalen, wat het officiële standpunt van de Amerikaanse regering en veiligheidsdiensten is.

Voccola zegt dat er geen aanwijzingen zijn dat de hackers toegang hadden tot de systemen van Kaseya. Cybersecurityexperts vermoeden dat de aanvallers op deze manier de communicatie van het bedrijf afluisterden en leerden van het lek in de VSA-software. De topman belooft dat hij meer details over de supply chain aanval geeft zodra het probleem is verholpen.

Losgeld betalen aan hackers is controversieel

Het betalen van losgeld aan hackers en cybercriminelen is in de VS, net als in ons land, een omstreden onderwerp. De gedachte is dat betalen de boodschap afgeeft dat criminaliteit loont. Bovendien houdt het betalen van losgeld het verdienmodel van criminelen in stand. Colonial Pipeline, een van de grootste aardoliemaatschappijen in de VS, betaalde onlangs 4,4 miljoen dollar aan DarkSide om een einde te maken aan een ransomware-aanval. Algemeen directeur Joseph Blount zei dat hij dat had gedaan uit landsbelang.

Vleesproducent JBS betaalde recentelijk maar liefst 11 miljoen dollar om af te zijn hackers. “Het was een zeer moeilijke beslissing om te nemen voor ons bedrijf en mij persoonlijk. We vonden echter dat we deze beslissing moesten nemen om ieder risico voor onze te klanten te vermijden”, zo verdedigde CEO Andre Nogueira zijn besluit om het losgeld te betalen.

Aanval bijna afgeslagen door Nederlandse hackers

Vrijwillige beveiligingsexperts en ethische hackers uit Nederland slaagden er bijna in om de aanval van REvil af te slaan. Het Dutch Institute for Vulnerability Disclosure (DIVD) ontdekte een lek in de software van Kaseya. Ze namen contact op met het bedrijf om de kwetsbaarheid te verhelpen. Dagenlang werkten beide partijen gezamenlijk aan een oplossing.

Maar afgelopen vrijdagavond vond plotseling de spraakmakende supply chain aanval plaats. “Als we een beetje meer tijd hadden gehad, was het ons gelukt”, vertelden DIVD-leden Wietse Boonstra en Frank Breedijk aan Vrij Nederland.

Dave Maasland, directeur van de Nederlandse tak van beveiligingsbedrijf ESET, heeft tegen diverse media gezegd dat de aanvallers slim te werk zijn gegaan. “Om de bedrijven binnen te komen hebben ze gekeken welke ‘gereedschapskist’ de getroffen IT-bedrijven gebruiken, welke software om op afstand onderhoud te plegen.” Hierdoor slaagden de aanvallers erin om in korte tijd honderden slachtoffers te maken. Tegen dit soort aanvallen kunnen gedupeerden volgens de beveiligingsspecialist weinig doen.

Techredacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen