Breaking News

•••  All important news related to new attacks and see the solutions we can offer you  •••

16/07/2021

SonicWall waarschuwt voor ransomware-aanval tegen end-of-life apparaten

Lees de originele artikel hier
Cyber Defense

Netwerkbeveiligingsbedrijf SonicWall waarschuwt organisaties die van kwetsbare end-of-life apparaten gebruikmaken voor een naderende ransomware-aanval. Volgens het bedrijf maken aanvallers misbruik van een bekende kwetsbaarheid in Secure Mobile Access (SMA) 100 series en Secure Remote Access (SRA) producten met kwetsbare en niet meer ondersteunde firmware.

Het gaat onder andere om de SSL-VPN 200/2000/400 (end-of-life sinds 2013/2014), SRA 4200/1200 (end-of-life sinds 2016) en SRA 4600/1600 (end-of-life sinds 2019). De SMA is een gateway waarmee medewerkers vanaf allerlei willekeurige apparaten op afstand toegang tot de netwerken en cloudomgevingen van hun organisatie kunnen krijgen. Ook de SRA-producten bieden remote toegang tot bedrijfsnetwerken. SonicWall adviseert organisaties die nog met deze apparaten werken om ze meteen los te koppelen en wachtwoorden te resetten.

In het geval van de SMA 400/200 en SMA 210/410/500v worden deze apparaten nog wel ondersteund en moeten organisaties naar een nieuwere firmwareversie updaten. Bedrijven die geen maatregelen treffen lopen een groot risico om slachtoffer van een gerichte ransomware-aanval te worden, aldus SonicWall. Beveiligingsonderzoeker Kevin Beaumont laat weten dat het gebruik van end-of-life apparaten die niet meer met patches worden ondersteund binnen veel it-omgevingen vrij gewoon is.

Weet u welke devices u in uw netwerk heeft? En wat de status is van deze devices? Cert2Connect heeft verschillende oplossingen welke u in staat stellen om uw shadow IT in kaart te brengen en de status van deze te bepalen. Neem contact op met onze experts.

Neem contact op
05/07/2021

Wereldwijde ransomware-aanval via Kaseya VSA-software: een overzicht

Lees de originele artikel hier
Cyber Defense

Op vrijdag 2 juli werden bedrijven wereldwijd getroffen door een ransomware-aanval. De aanvallers claimen meer dan een miljoen computers te hebben versleuteld en eisen 70 miljoen dollar voor een generieke decryptietool waarmee alle slachtoffers hun bestanden kunnen ontsleutelen. De exacte aanvalsvector was eerst nog onbekend, maar alles wees al snel naar het programma VSA van softwarebedrijf Kaseya. Managed serviceproviders (MSP's) gebruiken deze software om de systemen van hun klanten op afstand te beheren. In dit artikel geeft Security.NL een overzicht van de aanval en de laatste ontwikkelingen. Het artikel zal dan ook steeds worden bijgewerkt.

 

Kaseya VSA

Kaseya VSA is een "Unified Remote Monitoring & Management" oplossing voor systeembeheer en netwerkmonitoring. Via VSA kunnen MSP's onder andere patchmanagement bij klanten uitvoeren, it-incidenten oplossen en zichtbaarheid in de it-netwerken van hun klanten krijgen. Op de systemen van deze klanten wordt de VSA-clientsoftware geïnstalleerd die via een VSA-server wordt beheerd.

 

Een dag na de aanval bevestigde Kaseya dat de aanvallers inderdaad de VSA-software hadden gebruikt om systemen van MSP-klanten met ransomware te infecteren. Volgens verschillende beveiligingsonderzoekers en securitybedrijven wisten de aanvallers via de VSA-software een malafide automatische update uit te rollen die de REvil-ransomware op systemen installeerde.

 

Het Dutch Institute for Vulnerability Disclosure (DIVD) maakte zondag 4 juli bekend dat de Nederlandse beveiligingsonderzoeker Wietse Boonstra verschillende kwetsbaarheden in VSA had ontdekt waarvan de aanvallers bij hun aanval misbruik van maakten. Deze beveiligingslekken, aangeduid als CVE-2021-30116, waren aan Kaseya gerapporteerd en het bedrijf werkte aan een beveiligingsupdate. Nog voordat het die kon uitrollen hebben de criminelen achter de REvil-ransomware misbruik van de lekken gemaakt voor het uitvoeren van hun aanval. Hoe het kon dat de criminelen ook van de kwetsbaarheden wisten is onbekend. Beveiligingsonderzoeker Victor Gevers meldde op Twitter dat de beveiligingslekken triviaal te vinden waren.

 

Vanwege de aanval adviseerde Kaseya aan managed serviceproviders om hun VSA-servers meteen offline te halen en te houden totdat er meer informatie bekend was. Ook de SaaS-omgeving van Kaseya zelf ging offline. Dit heeft tot gevolg dat MSP's de systemen van hun klanten niet meer via VSA kunnen beheren. Kaseya heeft inmiddels beveiligingsupdates ontwikkeld. Het plan is om op maandag 5 juli het SaaS-datacenter van Kaseya weer online te brengen. Daarna volgen de patches voor de VSA-servers van MSP's. Kasesya spreekt in de berichtgeving trouwens over één kwetsbaarheid.

 

Het DIVD is een organisatie die beveiligingsonderzoek uitvoert en bedrijven waarschuwt voor kwetsbaarheden. Naast het informeren van Kaseya over de beveiligingslekken waarschuwde het samen met Kaseya ook managed serviceproviders om hun systemen offline te halen. In eerste instantie waren zo'n 2200 VSA-servers vanaf het internet toegankelijk. Inmiddels is dat aantal gedaald naar 140 en gaat het om nul servers in Nederland. Dat heeft niet kunnen voorkomen dat volgens Kaseya tientallen MSP's slachtoffer zijn geworden. Het bedrijf geeft geen exact aantal, maar sprak eerst van minder dan veertig providers. In een interview met ABC News wordt gesproken over een getal van tussen de vijftig en zestig MSP's.

 

Slachtoffers

De exacte impact van de aanval is op dit moment nog onbekend, maar het afgelopen weekend werd al duidelijk dat meerdere bedrijven zijn getroffen. Securitybedrijf Huntress meldde dat het om meer dan duizend bedrijven gaat, die klant bij zo'n dertig MSP's zijn, van wie de systemen zijn versleuteld. De aanvallers claimen zelf op hun eigen blog meer dan een miljoen systemen te hebben versleuteld en eisen 70 miljoen dollar voor een generieke decryptietool waarmee alle slachtoffers hun systemen kunnen ontsleutelen.

 

Getroffen bedrijven en organisaties

Hieronder een overzicht van getroffen bedrijven en organisaties.

  • Zweedse supermarktketen Coop
  • Twee Nieuw-Zeelandse scholen
  • Nederlandse technisch dienstverlener Hoppenbrouwers Techniek
  • Nederlandse it-dienstverlener VelzArt
  • Belgische managed serviceprovider ITxx

 

REvil-ransomwaregroep

De aanval is uitgevoerd door de groep criminelen achter de REvil-ransomware, die ook wel Sodinokibi wordt genoemd. De eerste ransomare-exemplaren van deze groep werden in april 2019 ontdekt. REvil was onder andere verantwoordelijk voor de aanval op JBS, de grootste vleesverwerker ter wereld. Dit bedrijf betaalde uiteindelijk 11 miljoen dollar losgeld. REvil wist eerder in te breken bij de Deense schoonmaakgigant ISS en claimde succesvolle aanvallen tegen computerfabrikant Acer en Apple-leverancier Quanta Computer. De groep maakte in het verleden onder andere gebruik van kwetsbaarheden in Oracle WebLogic om organisaties te compromitteren. Volgens sommige experts heeft de groep bewust het weekend van 4 juli gekozen, aangezien dit een nationale feestdag in de VS is en organisaties daardoor onderbezet zijn.

 

Eerdere aanvallen op MSP's

Het is niet voor het eerst dat aanvallers via managed serviceproviders bedrijven met ransomware weten te infecteren. Ook de REvil-groep heeft dit eerder gedaan. In 2019 werden klanten van een Amerikaanse MSP slachtoffer van een dergelijke aanval, die plaatsvond via ConnectWise, een plug-in voor Kaseya. Door de aanval zouden 1500 tot 2000 systemen van klanten zijn getroffen.

 

In juni 2019 was het de REvil-groep die bij een niet nader genoemde MSP wist toe te slaan. Volgens securitybedrijf Huntress Labs kregen de aanvallers toegang via RDP. Vervolgens maakten ze gebruik van de Webroot-managementconsole om de ransomware op klantsystemen te downloaden en aanwezige antivirussoftware uit te schakelen.

In augustus 2019 was het wederom raak en werden systemen van 23 steden in de Amerikaanse stad Texas versleuteld. Tevens wist de REvil-groep in deze maand de data van vierhonderd Amerikaanse tandartspraktijken te versleutelen via een aanval op hun softwareleverancier. In december 2019 sloeg de REvil-groep wederom toe bij een managed serviceprovider waardoor meer dan honderd tandartspraktijken in de VS met ransomware besmet raakten.

 

Detectietool en adviezen

Kaseya heeft inmiddels een detectietool ontwikkeld waarmee managed serviceproviders kunnen controleren of hun omgeving is gecompromitteerd. Inmiddels zouden meer dan negenhonderd MSP's de tool hebben uitgevoerd. Op dit moment wordt providers nog altijd geadviseerd om hun VSA-servers offline te houden. De FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security adviseren MSP's om hun VSA-servers achter een VPN of firewall op een apart beheernetwerk te plaatsen en alleen bekende ip-adressen toegang te geven.

Het Witte Huis roept getroffen MSP's en bedrijven op om melding te doen bij de FBI. Daarnaast is er een onderzoek naar de aanval aangekondigd.

Breach and attack simulaties

Met Cymulate kunt u niet alleen testen of de Kaseya server veilig zijn, maar u kunt ook testen wat de kans is dat cryptoware zich kan verspreiden in uw netwerk, hier kunt u op acteren en ervoor zorgen dat de impact van een dergelijke aanval beperkt blijft, zelfs als de initiele aanvals vector nog niet bekend ik. Vraag onze experts om uitleg

Neem contact op met onze experts
28/06/2021

Microsoft signeert rootkit-driver die verkeer naar Chinees ip-adres stuurt

Lees de originele artikel hier
Cyber Defense

Microsoft heeft een malafide driver die als rootkit fungeert en verkeer naar een Chinees ip-adres stuurt van een digitale handtekening voorzien. Hoe het kan dat de rootkit-driver door Microsoft werd gesigneerd wordt door het techbedrijf onderzocht, meldt antivirusbedrijf G Data dat de malware ontdekte.

Sinds Windows Vista kunnen standaard alleen digitaal gesigneerde drivers worden geïnstalleerd. Vorige week werd G Data gewaarschuwd door een eigen systeem voor een mogelijke false positive, omdat een door Microsoft gesigneerde driver als malware was gedetecteerd. Het komt vaker voor dat antivirussoftware legitieme software als malware bestempelt.

In dit geval ging het om een true positive. De malware in kwestie was door Microsoft gesigneerd. Eenmaal actief blijkt de rootkit-driver verkeer naar een Chinees ip-adres door te sturen dat volgens het Amerikaanse ministerie van Defensie een Chinees defensiebedrijf is. De malware blijkt ook in staat om zichzelf te updaten.

G Data waarschuwde Microsoft waarna het techbedrijf signatures uitrolde voor de virusdatabase van Windows Defender. Volgens malware-analist Karsten Hahn is het nog altijd onduidelijk hoe de malafide driver kon worden gesigneerd. In deze analyse geeft G Data meer details over de rootkit.

 

Vertrouw nooit volledig op dat andere organisties aangeven dat iets veilig is. Cert2connect levert tal van oplossingen die u in staat stellen zelf actief uw organisatie te monitoren en te verbeteren

Neem contact op over de mogelijkheden
Load more