Breaking News

•••  All important news related to new attacks and see the solutions we can offer you  •••

16/07/2021

Amerikaanse overheid: Beloning $10.000.000 voor diegene die informatie kan geven over hackers welke kritieke infrastructuur aanvallen

Read the original article here
Cyber Defense

Sommige kwaadwillende actoren vallen de kritieke infrastructuur van de VS aan, deze aanvallen kunnen onder andere, afpersingen op basis van ransomware, onrechtmatige toegang tot informatie, het bewust uitvoeren van kwaadaardige code uitvoeren of het bewust beschadigen van systemen als doel hebben. Het gaat hier niet alleen om systemen welke eigendom zijn van de Amerikaanse overheid of financiële instituten, maar ook systemen welke gebruikt worden voor internationale handel of communicatie.

Meer informatie over de beloning is hier te vinden: https://rewardsforjustice.net/english/

 

Wilt u de aanvallen liever voor zijn? Neem contact met onze experts op.

Neem contact met ons op
16/07/2021

SonicWall waarschuwt voor ransomware-aanval tegen end-of-life apparaten

Read the original article here
Cyber Defense

Netwerkbeveiligingsbedrijf SonicWall waarschuwt organisaties die van kwetsbare end-of-life apparaten gebruikmaken voor een naderende ransomware-aanval. Volgens het bedrijf maken aanvallers misbruik van een bekende kwetsbaarheid in Secure Mobile Access (SMA) 100 series en Secure Remote Access (SRA) producten met kwetsbare en niet meer ondersteunde firmware.

Het gaat onder andere om de SSL-VPN 200/2000/400 (end-of-life sinds 2013/2014), SRA 4200/1200 (end-of-life sinds 2016) en SRA 4600/1600 (end-of-life sinds 2019). De SMA is een gateway waarmee medewerkers vanaf allerlei willekeurige apparaten op afstand toegang tot de netwerken en cloudomgevingen van hun organisatie kunnen krijgen. Ook de SRA-producten bieden remote toegang tot bedrijfsnetwerken. SonicWall adviseert organisaties die nog met deze apparaten werken om ze meteen los te koppelen en wachtwoorden te resetten.

In het geval van de SMA 400/200 en SMA 210/410/500v worden deze apparaten nog wel ondersteund en moeten organisaties naar een nieuwere firmwareversie updaten. Bedrijven die geen maatregelen treffen lopen een groot risico om slachtoffer van een gerichte ransomware-aanval te worden, aldus SonicWall. Beveiligingsonderzoeker Kevin Beaumont laat weten dat het gebruik van end-of-life apparaten die niet meer met patches worden ondersteund binnen veel it-omgevingen vrij gewoon is.

Weet u welke devices u in uw netwerk heeft? En wat de status is van deze devices? Cert2Connect heeft verschillende oplossingen welke u in staat stellen om uw shadow IT in kaart te brengen en de status van deze te bepalen. Neem contact op met onze experts.

Neem contact op
05/07/2021

Wereldwijde ransomware-aanval via Kaseya VSA-software: een overzicht

Read the original article here
Cyber Defense

Op vrijdag 2 juli werden bedrijven wereldwijd getroffen door een ransomware-aanval. De aanvallers claimen meer dan een miljoen computers te hebben versleuteld en eisen 70 miljoen dollar voor een generieke decryptietool waarmee alle slachtoffers hun bestanden kunnen ontsleutelen. De exacte aanvalsvector was eerst nog onbekend, maar alles wees al snel naar het programma VSA van softwarebedrijf Kaseya. Managed serviceproviders (MSP's) gebruiken deze software om de systemen van hun klanten op afstand te beheren. In dit artikel geeft Security.NL een overzicht van de aanval en de laatste ontwikkelingen. Het artikel zal dan ook steeds worden bijgewerkt.

 

Kaseya VSA

Kaseya VSA is een "Unified Remote Monitoring & Management" oplossing voor systeembeheer en netwerkmonitoring. Via VSA kunnen MSP's onder andere patchmanagement bij klanten uitvoeren, it-incidenten oplossen en zichtbaarheid in de it-netwerken van hun klanten krijgen. Op de systemen van deze klanten wordt de VSA-clientsoftware geïnstalleerd die via een VSA-server wordt beheerd.

 

Een dag na de aanval bevestigde Kaseya dat de aanvallers inderdaad de VSA-software hadden gebruikt om systemen van MSP-klanten met ransomware te infecteren. Volgens verschillende beveiligingsonderzoekers en securitybedrijven wisten de aanvallers via de VSA-software een malafide automatische update uit te rollen die de REvil-ransomware op systemen installeerde.

 

Het Dutch Institute for Vulnerability Disclosure (DIVD) maakte zondag 4 juli bekend dat de Nederlandse beveiligingsonderzoeker Wietse Boonstra verschillende kwetsbaarheden in VSA had ontdekt waarvan de aanvallers bij hun aanval misbruik van maakten. Deze beveiligingslekken, aangeduid als CVE-2021-30116, waren aan Kaseya gerapporteerd en het bedrijf werkte aan een beveiligingsupdate. Nog voordat het die kon uitrollen hebben de criminelen achter de REvil-ransomware misbruik van de lekken gemaakt voor het uitvoeren van hun aanval. Hoe het kon dat de criminelen ook van de kwetsbaarheden wisten is onbekend. Beveiligingsonderzoeker Victor Gevers meldde op Twitter dat de beveiligingslekken triviaal te vinden waren.

 

Vanwege de aanval adviseerde Kaseya aan managed serviceproviders om hun VSA-servers meteen offline te halen en te houden totdat er meer informatie bekend was. Ook de SaaS-omgeving van Kaseya zelf ging offline. Dit heeft tot gevolg dat MSP's de systemen van hun klanten niet meer via VSA kunnen beheren. Kaseya heeft inmiddels beveiligingsupdates ontwikkeld. Het plan is om op maandag 5 juli het SaaS-datacenter van Kaseya weer online te brengen. Daarna volgen de patches voor de VSA-servers van MSP's. Kasesya spreekt in de berichtgeving trouwens over één kwetsbaarheid.

 

Het DIVD is een organisatie die beveiligingsonderzoek uitvoert en bedrijven waarschuwt voor kwetsbaarheden. Naast het informeren van Kaseya over de beveiligingslekken waarschuwde het samen met Kaseya ook managed serviceproviders om hun systemen offline te halen. In eerste instantie waren zo'n 2200 VSA-servers vanaf het internet toegankelijk. Inmiddels is dat aantal gedaald naar 140 en gaat het om nul servers in Nederland. Dat heeft niet kunnen voorkomen dat volgens Kaseya tientallen MSP's slachtoffer zijn geworden. Het bedrijf geeft geen exact aantal, maar sprak eerst van minder dan veertig providers. In een interview met ABC News wordt gesproken over een getal van tussen de vijftig en zestig MSP's.

 

Slachtoffers

De exacte impact van de aanval is op dit moment nog onbekend, maar het afgelopen weekend werd al duidelijk dat meerdere bedrijven zijn getroffen. Securitybedrijf Huntress meldde dat het om meer dan duizend bedrijven gaat, die klant bij zo'n dertig MSP's zijn, van wie de systemen zijn versleuteld. De aanvallers claimen zelf op hun eigen blog meer dan een miljoen systemen te hebben versleuteld en eisen 70 miljoen dollar voor een generieke decryptietool waarmee alle slachtoffers hun systemen kunnen ontsleutelen.

 

Getroffen bedrijven en organisaties

Hieronder een overzicht van getroffen bedrijven en organisaties.

  • Zweedse supermarktketen Coop
  • Twee Nieuw-Zeelandse scholen
  • Nederlandse technisch dienstverlener Hoppenbrouwers Techniek
  • Nederlandse it-dienstverlener VelzArt
  • Belgische managed serviceprovider ITxx

 

REvil-ransomwaregroep

De aanval is uitgevoerd door de groep criminelen achter de REvil-ransomware, die ook wel Sodinokibi wordt genoemd. De eerste ransomare-exemplaren van deze groep werden in april 2019 ontdekt. REvil was onder andere verantwoordelijk voor de aanval op JBS, de grootste vleesverwerker ter wereld. Dit bedrijf betaalde uiteindelijk 11 miljoen dollar losgeld. REvil wist eerder in te breken bij de Deense schoonmaakgigant ISS en claimde succesvolle aanvallen tegen computerfabrikant Acer en Apple-leverancier Quanta Computer. De groep maakte in het verleden onder andere gebruik van kwetsbaarheden in Oracle WebLogic om organisaties te compromitteren. Volgens sommige experts heeft de groep bewust het weekend van 4 juli gekozen, aangezien dit een nationale feestdag in de VS is en organisaties daardoor onderbezet zijn.

 

Eerdere aanvallen op MSP's

Het is niet voor het eerst dat aanvallers via managed serviceproviders bedrijven met ransomware weten te infecteren. Ook de REvil-groep heeft dit eerder gedaan. In 2019 werden klanten van een Amerikaanse MSP slachtoffer van een dergelijke aanval, die plaatsvond via ConnectWise, een plug-in voor Kaseya. Door de aanval zouden 1500 tot 2000 systemen van klanten zijn getroffen.

 

In juni 2019 was het de REvil-groep die bij een niet nader genoemde MSP wist toe te slaan. Volgens securitybedrijf Huntress Labs kregen de aanvallers toegang via RDP. Vervolgens maakten ze gebruik van de Webroot-managementconsole om de ransomware op klantsystemen te downloaden en aanwezige antivirussoftware uit te schakelen.

In augustus 2019 was het wederom raak en werden systemen van 23 steden in de Amerikaanse stad Texas versleuteld. Tevens wist de REvil-groep in deze maand de data van vierhonderd Amerikaanse tandartspraktijken te versleutelen via een aanval op hun softwareleverancier. In december 2019 sloeg de REvil-groep wederom toe bij een managed serviceprovider waardoor meer dan honderd tandartspraktijken in de VS met ransomware besmet raakten.

 

Detectietool en adviezen

Kaseya heeft inmiddels een detectietool ontwikkeld waarmee managed serviceproviders kunnen controleren of hun omgeving is gecompromitteerd. Inmiddels zouden meer dan negenhonderd MSP's de tool hebben uitgevoerd. Op dit moment wordt providers nog altijd geadviseerd om hun VSA-servers offline te houden. De FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security adviseren MSP's om hun VSA-servers achter een VPN of firewall op een apart beheernetwerk te plaatsen en alleen bekende ip-adressen toegang te geven.

Het Witte Huis roept getroffen MSP's en bedrijven op om melding te doen bij de FBI. Daarnaast is er een onderzoek naar de aanval aangekondigd.

Breach and attack simulaties

Met Cymulate kunt u niet alleen testen of de Kaseya server veilig zijn, maar u kunt ook testen wat de kans is dat cryptoware zich kan verspreiden in uw netwerk, hier kunt u op acteren en ervoor zorgen dat de impact van een dergelijke aanval beperkt blijft, zelfs als de initiele aanvals vector nog niet bekend ik. Vraag onze experts om uitleg

Neem contact op met onze experts
Load more