200 bedrijven besmet met ransomware via leveranciersketen door Russische hackers

Close up van een hacker die een cyberaanval uitvoert op zijn laptop

REvil, een aan Rusland gelieerde hackersgroep, heeft zo’n 200 bedrijven besmet met gijzelsoftware. Het gaat om een supply chain aanval die mogelijk begonnen is bij Kaseya, een leverancier van beheersoftware van ICT-applicaties. Klanten die VSA gebruiken, een product om computers en mobiele apparaten op afstand te beheren, wordt geadviseerd om het programma uit te schakelen.

Dat schrijft persbureau Bloomberg op basis van berichten van cybersecuritybedrijf Huntress Labs.

Aantal slachtoffers loopt waarschijnlijk snel op

Huntress Labs heeft acht zogeheten managed service providers of dienstverleners geïdentificeerd die getroffen zijn door ransomware. Wat ze met elkaar gemeen hebben, is dat ze allemaal gebruikmaken van VSA. Het beveiligingsbedrijf zegt dat ongeveer 200 bedrijven die klant zijn bij deze ICT-dienstverleners, door de aanval zijn getroffen.

George Demou, algemeen directeur van Avtex LLC, één van de dienstverleners die het slachtoffer is van de ransomware-aanval, zegt tegenover Bloomberg dat ‘honderden ICT-dienstverleners’ wereldwijd getroffen zijn door de supply chain aanval. Huntress Labs verwacht dat het aantal gedupeerden snel zal oplopen.

“Dit is een van de meest grootschalige, niet door een staat uitgevoerde, aanvallen die we ooit hebben gezien. Het lijkt puur de bedoeling [van de hackers] om geld te verdienen”, zegt Andrew Howard van het Zwitserse Kudelski Security tegen Bloomberg. Volgens hem is het een van de meest effectieve manieren om malware te verspreiden via de leveranciersketen van vertrouwde ICT-dienstverleners.

NCSC: ‘Schakel VSA uit’

Hoewel niet vaststaat dat VSA de bron is van de aanval, raadt Kaseya in een persbericht bedrijven en organisaties die deze software gebruiken aan om hem direct uit te schakelen. Het Nationaal Cyber Security Centrum (NCSC) neemt dit advies over, in ieder geval totdat er meer informatie bekend is. “Het NCSC adviseert klanten die VSA-agents in gebruik hebben, om contact te zoeken met hun beheerorganisatie voor verdere instructies”, schrijft het adviesorgaan in een persverklaring.

Russische hackersgroep REvil verantwoordelijk voor supply chain aanval

Volgens cybersecuritybedrijf Huntress Labs zit REvil achter de cyberaanvallen. Dit is een hackersgroep die vanuit Rusland werkt. De groep, ook wel bekend als Sodinokibi, heeft vele slachtoffers gemaakt. Afgelopen jaar waren geldwisselkantoor Travelex en de Brown-Forman Corporation, bekend van sterke dranken als Jack Daniel’s, het doelwit van REvil. Acer en Quanta Computer waren eerder dit jaar het slachtoffer van de Russische hackers.

Meest geruchtmakende doelwit van REvil is JBS, de grootste vleesproducent ter wereld. Eind mei wisten hackers het bedrijfsnetwerk van de grootste vleesproducent ter wereld binnen te dringen en ransomware te installeren. Uit voorzorg besloot het bedrijf om een aantal filialen in Australië, Canada en de VS tijdelijk te sluiten. Ook haalde ze een deel van het IT-netwerk uit de lucht. Enkele dagen later werd het sein brandmeester gegeven en werd het productieproces weer opgestart.

JBS zegt dat er geen bedrijfsgevoelige gegevens zijn gestolen. Toch betaalde het bedrijf 11 miljoen dollar aan losgeld. “Het was een zeer moeilijke beslissing om te nemen voor ons bedrijf en mij persoonlijk. We vonden echter dat we deze beslissing moesten nemen om ieder risico voor onze te klanten te vermijden”, zo zei topman Andre Nogueira in een verklaring.

Voorval doet denken aan supply chain aanval op SolarWinds

Het is niet de eerste cyberaanval op een leveranciersketen. De supply chain aanval op SolarWinds veroorzaakte eind vorig jaar en begin dit jaar veel commotie. Nadat hackers erin geslaagd waren om het bedrijfsnetwerk van SolarWinds te infiltreren, maakten ze misbruik van de Orion Network Management Tools: software die het bedrijf aanbiedt om bedrijfsnetwerken, databases, servers en webapplicaties te monitoren. Door een backdoor aan deze software toe te voegen (ook wel Sunburst genoemd), waren hackers in staat om politieke instanties, lokale overheden en bedrijven te infiltreren.

The New York Times schreef in januari dat op deze manier meer dan 250 organisaties waren getroffen, waaronder de Amerikaanse ministeries van Financiën, Binnenlandse Zaken, Binnenlandse Veiligheid, Economische Zaken, Justitie en Defensie. Een hooggeplaatste medewerker van de veiligheidsraad die het Witte Huis adviseert nuanceerde dit en zei dat negen federale overheidsinstanties en honderd bedrijven in de private sector getroffen waren door de supply-chainaanval op SolarWinds.

In mei zei SolarWinds dat ‘minder dan honderd’ klanten getroffen zijn door Sunburst. Dat komt omdat de meeste klanten de update hebben gedownload om deze achterdeur te dichten. Een ander deel van de klanten gebruikte de update op servers die niet met het internet verbonden waren. Zodoende was het onmogelijk om deze computers van een backdoor te voorzien.

Techredacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen