Door Tijs Hofmans

Nieuwscoördinator

Feedback • 06-07-2021 09:45 79

Ransomware in Kaseya-systemen

Wat weten we allemaal over de aanvallen?

06-07-2021 • 09:45

79

titel

Opnieuw legt een grote ransomwareaanval veel bedrijven en zelfs op sommige plekken het openbare leven plat. De aanval op het voorheen vrij onbekende Kaseya lijkt in sommige gevallen op prominente hacks van eerder dit jaar, zoals op SolarWinds, maar wie wat dieper kijkt, ziet een nieuwe stap in de evolutie van ransomware die veel zorgen baart.

Kaseya wie?

De aanval waar het over gaat, is die op Kaseya, een relatief onbekend bedrijf dat daarmee ineens meer aandacht krijgt dan het misschien zou willen. Daarmee begint de parallel al met SolarWinds. Dat bedrijf werd eerder dit jaar getroffen door een soortgelijk probleem; het bedrijf was gehackt en via de supply chain werden klanten ervan vervolgens getroffen door malware. Een tweede parallel is dat je waarschijnlijk ook van Kaseya nog nooit gehoord had tot nu en dat beide bedrijven software maken die diep in netwerken kan kijken. Het verschil tussen de aanvallen is dat SolarWinds door spionagemalware werd getroffen en dat via Kaseya ransomware wordt verspreid.

Kaseya maakt software voor managed service providers of msp's. Dat zijn bedrijven die op hun beurt het ict-beheer doen voor kleine organisaties. Als praktisch voorbeeld: denk je een klein bedrijfje in dat iets in de marketing of sales doet en waar 25 mensen werken op laptops met Windows. Die laptops moeten centraal worden beheerd, maar voor een dergelijk klein bedrijf is het in veel gevallen niet de moeite waard een systeembeheerder in dienst te nemen. In zo'n geval besteden de bedrijven hun ict-beheer uit aan aannemers: managed service providers.

Kaseya_Unified_Backup

Die aannemers gebruiken daar weer tools voor die ze inkopen van andere fabrikanten. Kaseya is zo'n fabrikant. Het van oorsprong Amerikaanse bedrijf levert met name twee belangrijke beheerderspakketten: Kaseya BMS voor kleine bedrijven en Kaseya VSA. Bij dat laatste pakket ging het fout.

Kaseya VSA, of Virtual Systems Administrator, is een tool om software op afstand te beheren en waarmee bijvoorbeeld patches kunnen worden doorgevoerd, gebruikers worden toegevoegd of back-ups kunnen worden gemaakt. Het is een krachtige tool die diepgaande rechten heeft in de systemen van eindafnemers. Daarmee is het een perfecte tool om computers aan te vallen die gebruikmaken van de software. Dat is precies wat er gebeurde; hackers wisten via Kaseya VSA bedrijven te infecteren met malware.

Supplychainaanvallen

Omdat Kaseya VSA door veel klanten van het bedrijf wordt gebruikt, spreken beveiligingsonderzoekers van een supplychainaanval. Dat is een infectie waarbij één bedrijf wordt getroffen om vervolgens gebruikers van die software te treffen. De situatie is daarmee enigszins vergelijkbaar met die van SolarWinds, het bedrijf dat eerder dit jaar werd getroffen. Ook dat was een interessant slachtoffer voor kwaadaardige hackers, omdat ook die software veel rechten had bij bedrijven.

Experts betwijfelen of de huidige aanval echt een supplychainaanval isDe term 'supplychainaanval' heeft geen vaste definitie. Er zijn inmiddels ook meerdere beveiligingsexperts die menen dat deze aanval veel méér is dan een supplychainaanval. Zij spreken over bijvoorbeeld 'een managed services chain-aanval', maar geef het beestje maar een naam. De term supplychainaanval wordt doorgaans gebruikt voor een aanval waarbij bij een moeilijk te hacken bedrijf of meerdere bedrijven wordt binnengedrongen door een kleinere leverancier te treffen. Dat is voor de aanvallers makkelijker of er worden in een keer meerdere klanten geraakt. Dat was bijvoorbeeld het geval bij NotPetya, de beruchte Russische destructieransomware die was gericht op de Oekraïense industrie door een klein boekhoudbedrijfje met veel klanten in dat land te infecteren.

Nu lijkt het echter om iets meer te gaan dan dat. De aanval op Kaseya richt zich namelijk wel op de supplychain, maar dan twee lagen diep in plaats van slechts eentje. Niet alleen directe klanten van Kaseya worden getroffen, ook klanten van die klanten. Daarmee is een domino-effect ontstaan dat nooit eerder is gezien.

Kaseya is overigens al eerder slachtoffer geweest van een supplychainaanval. Dat gebeurde in 2019, toen de beruchte GandCrab-ransomware via de msp toesloeg. Ook toen al werd er gewaarschuwd voor de opkomst van supplychainaanvallen via msp's, maar de schade bleef toen zeer beperkt en had niet zo'n grote omvang als nu.

Hoe kwamen de aanvallers bij Kaseya binnen?

Er zijn nog veel dingen onbekend over de aanval zelf. Het grootste vraagteken is de manier waarop de hackers precies zijn binnengedrongen bij Kaseya zelf. Dat is hoogstwaarschijnlijk gebeurd door een lek in de software. Een opvallend aspect is dat het lek dat werd gebruikt, al wel bekend was bij het bedrijf. Dat werd ontdekt door de Nederlandse beveiligingsonderzoeker Wietse Boonstra, die samenwerkte met het Dutch Institute for Vulnerability Disclosure. Dat platform specialiseert zich in het opsporen van kwetsbaarheden in software en dan vaak beheerderssoftware als vpn's en firewalls, en dus ook msp-software zoals Kaseya VSA.

CVE_2021_30116
De kwetsbaarheid is al gereserveerd, maar details zijn nog niet bekend

Volgens DIVD had het de kwetsbaarheid in Kaseya VSA een tijd geleden ontdekt. Er was zelfs al een CVE-code voor gereserveerd, CVE-2021-30116, maar details over de aard van het lek zijn daar nog niet te vinden. De ethisch hackers hebben de kwetsbaarheid doorgegeven aan Kaseya en zeggen dat het bedrijf 'heel coöperatief was' met het afhandelen van de responsible disclosure.

Kaseya leek al in een vergevorderde staat te zijn van het uitbrengen van een patch voor de kwetsbaarheid. Volgens Victor Gevers, een van de oprichters van DIVD, zou het bedrijf al een paar samples hebben voorgelegd aan het platform ter validatie, maar 'in de eindsprint' maakte REvil gebruik van dezelfde kwetsbaarheid om toe te slaan. REvil is de naam van de ransomwaregroepering die de aanval opeist.

Een of twee zerodays

Die timing is op zijn minst opvallend te noemen. Het is natuurlijk wel erg toevallig dat de aanvallers nét dezelfde, onbekende kwetsbaarheid gebruikten als beveiligingsonderzoekers op dat moment ontdekten. Sommige andere onderzoekers vermoeden dan ook dat de aanvallers mogelijk toegang hadden tot de bug report van DIVD. Victor Gevers bevestigt dat de bug report via e-mail werd ingediend. "Dat is gezien de situatie waar het bedrijf in verkeerde, een niet onmogelijk scenario", zegt hij tegen Tweakers.

In het algemeen is het vrij zeldzaam dat ransomwaremakers gebruikmaken van zerodays, ofwel kwetsbaarheden die nog bij niemand bekend zijn en waar nog geen patch voor is. Bendes kunnen weliswaar makkelijk zulke lekken kopen omdat ze vaak miljoenen in kas hebben, maar in de praktijk doen ze dat weinig. Vaak is het al voldoende een kwetsbaarheid uit te buiten waar gewoon patches voor beschikbaar zijn, maar die een bedrijf simpelweg nog niet heeft doorgevoerd.

Over de aanval zelf

Er komt op dit moment mondjesmaat informatie binnen over het verloop van de aanval, al zijn ook daarover nog veel details onbekend. Kaseya heeft er sinds maandagavond iets meer over bekendgemaakt. "De aanvallers wisten een zeroday uit te buiten in onze VSA-software om zo de authenticatie te omzeilen en commando's uit te voeren. Zo konden ze onze standaard productfunctionaliteiten gebruiken om ransomware op endpoints te zetten. Er is geen bewijs dat de Kaseya VSA-codebase is geïnfecteerd."

Er zijn ook externe bedrijven die kijken naar wat er gebeurde. Een daarvan is beveiligingsbedrijf Huntress. Dat is gespecialiseerd in beveiliging van msp's. Het bedrijf bekeek onder andere de manier waarop de aanvallers binnenkwamen, en zag dat alle geïnfecteerde servers hetzelfde patroon lieten zien.

Dat patroon is namelijk dat via cURL drie bestanden worden opgehaald die 'een significant aantal potentiële sql-injectiekwetsbaarheden' uitbuiten. "Als we deze lijn volgen", schrijft het bedrijf, "durven we met veel zekerheid te zeggen dat de aanvallers de authenticatie in de web-interface van Kaseya VSA konden omzeilen tijdens een geauthenticeerde sessie, waarna ze de originele payload binnenhaalden en via een sql-injectie commando's konden uitvoeren. We kunnen bevestigen dat een sql-injectie de manier is waarop de daders hun aanvallen uitvoeren." Dat heeft Kaseya nog niet bevestigd en er zijn ook nog geen andere beveiligingsonderzoekers die dezelfde conclusie trekken. Voorlopig blijft dat dus nog een beetje vaag.

SQL Injections
Beveiligingsbedrijf Huntress ontdekte sql-injectiekwetsbaarheden in de code.

Over wat er vervolgens gebeurt, is ook nog niet veel duidelijk en al helemaal niet uit eerste bron. Wel zijn er hier en daar wat details bekend. Daaruit lijkt een beeld te ontstaan dat de aanval weinig geavanceerd is. Beveiligingsbedrijf Sophos heeft een eerste voorzichtige analyse geschreven met wat het heeft gezien bij klanten. Een ding valt daarbij met name op: Kaseya beschermde systemen niet tegen zichzelf. De VSA-software sloot bepaalde mappen met Kaseya-bestanden af voor antivirus- en firewallsoftware op het systeem. Met andere woorden, zegt Sophos: "Alles dat door de Kaseya Agent Monitor werd uitgevoerd, werd vanwege die uitsluitingen genegeerd." Daardoor kon een geïnfecteerde Kaseya-download relatief makkelijk toeslaan op systemen.

Dat downloadbestand voert eerst een PowerShell-commando uit waarmee Microsoft Defender wordt uitgeschakeld. Daarna wordt een commando uitgevoerd waarmee een bestand genaamd certutil.exe wordt aangemaakt. Dat is een bestand waarmee bestanden direct vanaf internet kunnen worden gedownload. Dat wordt vervolgens gebruikt om de payload te downloaden in de map waar de rest van Kaseya's software staat. Daarin zit onder andere een geïnfecteerde dll. Die doet ongeveer hetzelfde als eerdere REvil-aanvallen, zegt Sophos. Het maakt eerst het apparaat zichtbaar voor andere Windows-machines op het netwerk via het netsh-commando en begint vervolgens met het versleutelen van bestanden.

De ransomware heeft twee aspecten die opvallend zijn, zegt Sophos. In de eerste plaats worden Volume Shadow Copies niet verwijderd. Dat deed de meeste ransomware tot een paar jaar geleden nooit, maar inmiddels worden vss-bestanden standaard verwijderd. Bij de Kaseya-aanval gebeurt dat niet en dat kan volgens sommige experts betekenen dat het mogelijk kan zijn een back-up makkelijker terug te zetten.

Geen datadiefstal

Opvallend is dat de criminelen geen data stelenOok valt op dat er bij de aanval vooralsnog geen data lijkt te zijn gestolen. Sinds een jaar of twee is dat de vaste modus operandi van ransomwarebendes. Die versleutelen niet alleen systemen, maar dreigen ook gestolen data openbaar te maken als slachtoffers niet betalen. Die extra dreiging vergroot de betalingsbereidheid.

De details over de hack zijn op dit moment nog vaag. Waarschijnlijk wordt er in de komende weken meer bekend over hoe de malware precies werkt. Kaseya heeft inmiddels een detectietool beschikbaar gesteld. Die werkt op basis van de bevindingen van Huntress en scant op indicators of compromise die dat bedrijf heeft vastgesteld, en dus niet op basis van data van Kaseya zelf.

Omvang van de aanval

Kaseya wordt door veel bedrijven gebruikt, maar de precieze omvang van de aanval is moeilijk te analyseren. Kaseya durft in een update zelfs te spreken van 'een heel klein aantal' slachtoffers. Op een supportpagina spreekt het zelfs van 'minder dan veertig wereldwijd'. Dat zou komen door 'het snelle handelen van het team' van het bedrijf. Nu heeft Kaseya er natuurlijk veel baat bij het aantal slachtoffers zo laag mogelijk voor te spiegelen. Op dezelfde manier wil REvil ons juist doen geloven dat het heel veel slachtoffers heeft gemaakt; de criminelen spreken van een miljoen geïnfecteerde systemen. Later zei Kaseya-ceo Fred Voccola tegen persbureau AP dat hij verwacht dat er zo'n 800 tot 1500 slachtoffers zijn.

ESET _Map
Sommige bedrijven zoals ESET proberen schattingen te maken van slachtoffers, maar kunnen daarbij alleen hun eigen telemetrie gebruiken.

De omvang laat zich moeilijk meten omdat het om een supplychainaanval gaat. Kaseya's 'lage aantal' is betekenisloos omdat het alleen over de eigen klanten van het bedrijf gaat en niet over de potentiële duizenden bedrijven die vervolgens weer klanten van de klanten zijn. De gevolgen van die infecties zijn ook amper in kaart te brengen. Het bekendste voorbeeld is dat van de supermarktketen Coop, dat in Zweden honderden supermarkten moest sluiten. Dat kwam omdat de betaalprovider voor de kassa's en zelfscankassa's was getroffen. Coop was dus niet eens zelf een directe klant van Kaseya. Dat is een van de vele manieren waarop problemen in de supply chain doorsijpelen naar honderden en mogelijk duizenden bedrijven.

Schattingen

Sommige beveiligingsbedrijven durven wel schattingen te doen. Onderzoekers van Huntress houden het op zo'n duizend geïnfecteerde bedrijven, maar dat zijn alleen bedrijven waarvan bekend is dat ze slachtoffer zijn. Mogelijk worden er in de komende weken nog honderden andere slachtoffers bekend.

Ook in Nederland zijn voorbeelden te vinden van bedrijven die zijn getroffen. Dat zijn er vooralsnog niet veel. In Udenhout is een techniekbedrijf genaamd Hoppenbrouwers slachtoffer geworden, maar veel meer zijn er publiekelijk niet bekend. Het Dutch Institute for Vulnerability Disclosure zegt dat het afgelopen weekend heeft samengewerkt met 'partners' en met de Nederlandse autoriteiten en het NCSC om het aantal geïnfecteerde servers 'terug te brengen naar nul'. Volgens het DIVD zouden er inmiddels dus geen geïnfecteerde servers meer online moeten zijn.

DIVD-cijfers

Inmiddels heeft het National Cyber Security Centrum een waarschuwing gepubliceerd voor Nederlandse bedrijven. Het NCSC raadt systeembeheerders aan 'de Kaseya-VSA-servers uit te schakelen' tot er 'meer informatie bekend is'

Als we zouden aannemen dat de miljoen systemen die REvil zelf noemt waar is, dan zou de Kaseya-hack een van de grootste in de geschiedenis zijn. Alleen NotPetya en WannaCry, de destructieransomware die hoogstwaarschijnlijk van Noord-Korea afkomstig is, hadden mogelijk een groter bereik. Het totale bedrag van 70 miljoen dollar aan losgeld is ook hoog, al is het bedrag niet ongekend. Zo claimden de makers van GandCrab 150 miljoen dollar per jaar te verdienen als affiliates, al zijn zulke bedragen onmogelijk te verifiëren.

Wie zit er achter de aanval?

REvil Sodinokibi

De aanval is inmiddels opgeëist door REvil, een bekende ransomwarebende. Dat zegt nog niet alles; REvil biedt zijn gijzelsoftware aan als ransomware-as-a-service. Criminelen kunnen de malware, inclusief de achterliggende command-and-controlservers, huren in ruil voor een deel van de opbrengst. De makers van REvil vragen zo'n vijftien procent commissie en verdienen zo een aardig zakcentje. Wie er precies achter REvil zitten is niet bekend, maar de meeste experts en ook autoriteiten wijzen naar Rusland. Maar omdat REvil een zogenaamd RaaS-model hanteert is niet duidelijk of de originele makers ook achter deze aanval zitten.

Onafhankelijkheidsdag

De aanval begon afgelopen vrijdag, op 2 juli. Dat was zeker niet toevallig. Op 4 juli vieren de Amerikanen hun Onafhankelijkheidsdag en veel werknemers nemen die vrijdag vrij voor een lekker lang weekend. REvil sloeg toe op het moment dat Security Operation Centers dunbezet waren en de meeste systeembeheerders vroegtijdig de barbecue aanstaken. Dat is een modus operandi die niet uniek is bij ransomwareverspreiders. Je zag dat bijvoorbeeld ook bij de ransomware-infectie bij de Universiteit Maastricht. Daar sloegen de criminelen op 24 december, aan het eind van de middag toe. Dan zit menig ict'er al lang en breed in de auto naar huis of aan de champagne op de jaarlijkse kerstborrel.

Beveiligingsonderzoekers zien dat patroon al een paar jaar. In mei vorig jaar schreef securitybedrijf FireEye dat ransomware-infecties in 76 procent van de gevallen 's avonds of 's nachts plaatsvonden. Feestdagen zijn een populair moment om toe te slaan. Criminelen worden steeds beter om het juiste moment te vinden om toe te slaan. Dat gebeurt niet lukraak op basis van geluk of logisch nadenken, maar harde data. FireEye ontdekte ransomwareaanvallen waarbij de criminelen via Active Directory een Group Policy Object aanmaakten waardoor de ransomware specifiek toesloeg op momenten dat gebruikers waren uitgelogd van de systemen.

Dat past binnen de professionalisering van ransomware. De criminelen maken bijvoorbeeld steeds vaker gebruik van business intelligence, vertelde Head of Cyber Investigations John Fokker vorig jaar al aan Tweakers. Daarmee leren de criminelen een bedrijf goed kennen, bijvoorbeeld om de hoogte van het losgeld te bepalen. Via openbare bronnen kunnen ze de jaaromzet achterhalen en op basis daarvan berekenen hoeveel het bedrijf kan en waarschijnlijk wil missen aan losgeld.

Betalen dan maar?

REvil eist veel losgeld. Maar liefst 70 miljoen dollar, omgerekend 59 miljoen euro willen de criminelen, betaald in bitcoin. Inmiddels zouden de criminelen al wel hun eis verlaagd hebben naar 50 miljoen dollar of 42 miljoen euro. Maar de aanvallers bieden een vrij unieke deal aan. In plaats van honderden of duizenden bedrijven een voor een af te persen hebben de daders op hun blog op het dark web aangegeven om slechts één algemene prijs te hanteren om de decryptor voor de ransomware te publiceren. Bedrijven kunnen ook afzonderlijk contact opnemen met REvil om een prijs te bespreken, maar er zijn nog geen voorbeelden bekend waarbij dat ook gebeurd is.

Het is niet vaak voorgekomen dat ransomwaremakers de complete decryptor verkopen in plaats van individuele sleutels. Wel zijn er vaker gevallen voorgekomen waarbij ransomwareverspreiders stopten met hun werkzaamheden en de decryptor gratis online aanboden. Op dit moment kan alleen maar gespeculeerd worden wat de gedachte erachter is. Mogelijk hebben de criminelen weinig zin om met honderden verschillende bedrijven apart te moeten onderhandelen. Een andere mogelijkheid is dat de aanvallers nog 'een laatste slag' willen slaan en daarna met pensioen gaan. Bendes stoppen vaker, zoals GandCrab dat ooit deed, al komen er vaak veel forks voor terug.

Happy Blog
De blogpost waarin REvil 70 miljoen in bitcoin eist

Tot slot

De aanval op Kaseya lijkt een keerpunt te zijn in de strijd tussen bedrijven en ransomwarecriminelen. Securityexperts waarschuwen al tijden dat gijzelsoftware angstwekkende vormen aanneemt. Door de combinatie van de effectiviteit van ransomware en de lage pakkans worden bendes steeds rijker en machtiger, en met dat geld kunnen ze steeds grotere en heftigere aanvallen uitvoeren. Kan een ict-afdeling met een budget van een paar honderdduizend euro per jaar echt nog opboksen tegen criminelen die miljoenen te besteden hebben? Ook als de Kaseya-hack de laatste grote slag van REvil is, is de ellende nog niet voorbij. Er zijn genoeg bendes die dat gat maar wat graag op willen vullen.

Foto: eclipse_images / Getty Images.

Lees meer

Sophos wil Dells securitybedrijf Secureworks voor 859 miljoen dollar overnemen
Sophos wil Dells securitybedrijf Secureworks voor 859 miljoen dollar overnemen Nieuws van 21 oktober 2024
Oekraïense man krijgt in VS 13 jaar cel voor ransomwarehacks via Kaseya
Oekraïense man krijgt in VS 13 jaar cel voor ransomwarehacks via Kaseya Nieuws van 3 mei 2024
DIVD krijgt 88.000 euro voor opzetten van bugbountyprogramma
DIVD krijgt 88.000 euro voor opzetten van bugbountyprogramma Nieuws van 12 januari 2022
Vijf verdachten gelinkt aan REvil zijn gearresteerd bij internationale operatie
Vijf verdachten gelinkt aan REvil zijn gearresteerd bij internationale operatie Nieuws van 9 november 2021
'Verenigde Staten halen samen met andere landen REvil-groep offline'
'Verenigde Staten halen samen met andere landen REvil-groep offline' Nieuws van 22 oktober 2021
'FBI hield decryptor REvil-ransomware bijna drie weken lang voor zichzelf'
'FBI hield decryptor REvil-ransomware bijna drie weken lang voor zichzelf' Nieuws van 22 september 2021
Decryptor voor ransomware bij Kaseya-klanten verschijnt op internet
Decryptor voor ransomware bij Kaseya-klanten verschijnt op internet Nieuws van 12 augustus 2021
Kaseya zegt niet te hebben betaald voor ransomwaredecryptor
Kaseya zegt niet te hebben betaald voor ransomwaredecryptor Nieuws van 26 juli 2021
Kaseya krijgt van onbekende partij decryptor voor REvil-ransomware
Kaseya krijgt van onbekende partij decryptor voor REvil-ransomware Nieuws van 23 juli 2021
SolarWinds brengt patch uit voor actief aangevallen lek in Serv-U-software
SolarWinds brengt patch uit voor actief aangevallen lek in Serv-U-software Nieuws van 13 juli 2021
Bloomberg: ex-werknemers waarschuwden voor gebrekkige security bij Kaseya
Bloomberg: ex-werknemers waarschuwden voor gebrekkige security bij Kaseya Nieuws van 11 juli 2021
Nederlandse beveiligingsonderzoekers meldden Kaseya-lekken begin april - update
Nederlandse beveiligingsonderzoekers meldden Kaseya-lekken begin april - update Nieuws van 8 juli 2021
Kaseya-servers blijven offline door fout in uitrol
Kaseya-servers blijven offline door fout in uitrol Nieuws van 7 juli 2021
REvil eist cyberaanval Kaseya op en zegt dat miljoen systemen geïnfecteerd zijn
REvil eist cyberaanval Kaseya op en zegt dat miljoen systemen geïnfecteerd zijn Nieuws van 5 juli 2021
Zweedse supermarktketen sluit 500 winkels na cyberaanval op Kaseya
Zweedse supermarktketen sluit 500 winkels na cyberaanval op Kaseya Nieuws van 4 juli 2021
Maker it-managementsoftware Kaseya getroffen door 'supply chain attack'
Maker it-managementsoftware Kaseya getroffen door 'supply chain attack' Nieuws van 3 juli 2021
Meer producten en artikelen
Beveiliging en antivirus Ransomware Tweakers Plus

Reacties (79)

-Moderatie-faq
79
75
35
9
0
27
Wijzig sortering
Henrikop 6 juli 2021 15:37
Wat mij de hele tijd in mijn hoofd blijft zitten is deze tweet:

https://twitter.com/Malwa.../1411793853770723329?s=20
"Do you think it's possible the attackers could have intercepted the bug report somehow? The fact they hit right before the patch combined with the attack looking pretty rushed makes me wonder if maybe they already had a foothold on Kaseya's ticket system or something."

En Victor zijn antwoord:"That is a good question. The vulnerabilities and all the other research findings were reported by email. How they were administratively processed afterward is unknown to us."

Er zijn hier dus drie extra scenario's / attack vectors.

Bug report DIVD
Communicatie tussen DIVD - Kaseya per mail
Bug report Kaseya.

Het is meer dat ik me nu pas realiseer hoe gevoelig die data dus is.
BytePhantomX @Henrikop6 juli 2021 16:56
Dat is ook een goede vraag en ik hoop dat het onderdeel is van het onderzoek. En dat ze er iets over gaan zeggen. Ben er echter wel bang voor, aangezien de marketing de communicatie heeft overgenomen van Kaseya en ze echt niet iets naar buiten zullen brengen als dat niet hoeft.
Het is meer dat ik me nu pas realiseer hoe gevoelig die data dus is.
Juist bij Exchange/Hafnium was dat ook het probleem. Daar is mogelijk voorkennis gebruikt om er misbruik van te maken.
https://searchsecurity.te...-attacks-raises-questions
Henrikop @BytePhantomX6 juli 2021 19:54
Thanks voor die link, en zo heb ik weer wat geleerd vandaag.
AuteurTijsZonderH Nieuwscoördinator @Henrikop6 juli 2021 20:33
Bij RD-beleiden zie je altijd een pgp-sleutel staan maar ik denk niet dat die in de praktijk vaak gebruikt worden. Dat had hier mogelijk wel geholpen.
Kain_niaK @Henrikop8 juli 2021 16:16
Grote kans dat het inside job was. Een medewerker die contact heeft opgenomen met de bende, stort zoveel monero op dit adres en ik geef jullie een kwetsbaarheid waarmee je in een keer duizenden bedrijven mee kunt gijzelen. Vroeger voor crypto was uitgevonden was het heel lastig om hier mee weg te komen omdat de betaling altijd wel te traceren viel. Nu kan zelfs de gemiddelde computer gebruiker tails OS wel aan de praat krijgen, monero wallet generen en via tor contact op nemen met de bende. Kom er dan nog maar eens achter welke werknemer het bedrijf heeft verraden.
De Vliegmieren 6 juli 2021 10:55
Zolang cybercriminele organisaties geen aanvallen binnen Rusland uitvoeren lat de russische overheid ze over het algemeen met rust. Het is niets voor niets dat de meeste malware uit die contreien de locale of toetsenbord indeling detecteert, en vervolgens zichzelf uitschakelt als deze op 'Russisch' staat ingesteld. Er zijn ook stemmen die beweren dat er redelijk nauwe banden zijn tussen deze organisaties en de Russische overheid.

Het lijkt me een beetje a-typisch dat er nu kort op elkaar twee zaken zijn met heel veel media-aandacht (eerst de Colonial Pipeline hack, nu één of meerdere zero-days om een massale aanval uit te voeren). Wellicht is er een link met de spanning momenteel rondom de Krim? Wat heeft Rusland te verliezen als ze het signaal willen afgeven dat ze met een handomdraai gigantische economische schade kunnen aanrichten bij westerse bedrijven?

[Reactie gewijzigd door De Vliegmieren op 23 juli 2024 01:52]

janbaarda @De Vliegmieren6 juli 2021 15:10
Putin heeft voorgesteld om hackers uit te leveren als de andere partij dat ook doet. Biden is hier niet op in gegaan.

Overigens als je het artikel leest gaat het hier over geld (vele miljoenen) en niet over politiek. Ook wordt gemeld dat de hack betrekkelijk eenvoudig was (o.a. SQL injectie). Alles wijst meer op een inside job of in ieder geval lokale kennis.
De Vliegmieren @janbaarda6 juli 2021 17:01
de Russische overheid zal nooit directe betrokkenheid claimen. Met andere woorden, ze zullen altijd geld vragen, los van het feit of deze hack een signaal moet zijn of niet.

Er wordt duidelijk aangegeven dat ze een zero-day gebruikten die verder schijnbaar niet bekend was buiten Kaseya en DIVD. Dat geeft op zijn minst te denken (dat iemand wellicht toegang hadden tot de email van één van deze partijen, en de zero day heeft bemachtigd en gebruikt danwel doorgespeeld voor de ransomware aanval).

Het verdere (ontbreken van) technische vernuftigheid zegt verder ook niet zo veel. Als organisatie gebruik je alleen je meest geavanceerde technieken als dat nodig is. Anders geef je alleen onnodig je eigen geavanceerde geheimen bloot die je dan waarschijnlijk niet opnieuw kan gebruiken...

[Reactie gewijzigd door De Vliegmieren op 23 juli 2024 01:52]

janbaarda @De Vliegmieren6 juli 2021 17:32
Hoe dan ook het moet de Russische overheid zijn. Bewezen of niet bewezen het maakt niet uit. (wat is er met de Noord-Koreanen aan de hand?)

Alles wijst op een kriminele partij, mogelijk met insite kennis.
De Vliegmieren @janbaarda6 juli 2021 20:39
Ik zeg nergens dat het de Russische overheid erachter zit. Ik stel enkel dat de timing met de oplopende spanningen bij de Krim wellicht geen toeval is.
Elefant @janbaarda7 juli 2021 16:42
Zolang onze geheime diensten niet in staat zijn Amerikaanse, Engelse, Duitse, Franse, Israëlische hackers te betrappen en alleen maar aanvallen weet te herkennen als Russisch, Chinees, Iraans weet je dat je 100% zeker dat je geflest wordt.

[Reactie gewijzigd door Elefant op 23 juli 2024 01:52]

field33P @De Vliegmieren6 juli 2021 13:31
Wat heeft Rusland te verliezen als ze het signaal willen afgeven dat ze met een handomdraai gigantische economische schade kunnen aanrichten bij westerse bedrijven?
Vooral de irritatie bij westerse beleidsmakers vergroten, en daarmee solliciteren naar meer sancties.
BamiJamJam @De Vliegmieren6 juli 2021 18:10
Zolang cybercriminele organisaties geen aanvallen binnen Rusland uitvoeren lat de russische overheid ze over het algemeen met rust. Het is niets voor niets dat de meeste malware uit die contreien de locale of toetsenbord indeling detecteert, en vervolgens zichzelf uitschakelt als deze op 'Russisch' staat ingesteld. Er zijn ook stemmen die beweren dat er redelijk nauwe banden zijn tussen deze organisaties en de Russische overheid.

Het lijkt me een beetje a-typisch dat er nu kort op elkaar twee zaken zijn met heel veel media-aandacht (eerst de Colonial Pipeline hack, nu één of meerdere zero-days om een massale aanval uit te voeren). Wellicht is er een link met de spanning momenteel rondom de Krim? Wat heeft Rusland te verliezen als ze het signaal willen afgeven dat ze met een handomdraai gigantische economische schade kunnen aanrichten bij westerse bedrijven?
Wie zegt dat het Rusland is, en niet gewoon de regeringen in het westen, hoe krijgt een regering meer mach?

Simpel meer regels meer wetten, als zij het zelf doen via NSA of CIA of Interpol of ga maar zo door, en dan komen zij als met de oplossing, en iedereen zal hun bedanken voor het verwijderen van al die hacker "groepen", met al die extra regels en meer wetten, die nooit meer weg gaan, hoe groter een regering woord hoe corrupter en machtiger zijn woorden.

Zelfde met de minimum loon die de regering omhoog gegooid heeft in America, waar de grote bedrijven aan mee deden dat de regering dat moest doen, want als je meer moet betalen aan mensen met een minimum loon kunnen veel papa-mama bedrijven niet meer blijven bestaan, aangezien zij vaak niet $15 per uur kunnen betalen, en dat is iets wat de grote bedrijven als Amazon graag wil zien, aangezien ze juist dan bij hun meer kopen.

John Stossel heeft er een erg goede video over gemaakt.

[Reactie gewijzigd door BamiJamJam op 23 juli 2024 01:52]

lvmeijer 6 juli 2021 10:28
Wat kan een MSP doen om dit te voorkomen? Of anders gezegd, zijn er leveranciers die met een validatie (of een hackercommunity) een veilig(er) concept voor centraal beheer aanbieden?
BytePhantomX @lvmeijer6 juli 2021 12:08
In dit geval was een eenvoudige oplossing geweest om de interface van Kaseya niet via het internet beschikbaar te maken, maar achter een VPN met MFA te plaatsen. In dat geval heb je al twee 0-days nodig om misbruik te kunnen plegen en weet je pas welke tweede zero-day je nodig hebt als je de eerste hebt toegepast.

En dat principe wil je zoveel mogelijk toepassen, helemaal als de toepassing direct toegang geeft tot verhoogde rechten in een netwerk of welk systeem dan ook.

Moet een toepassing toch aan het internet, dan het liefst achter een vpn. Is dat niet mogelijk (bv Exchange) dan achter iets als een reverse proxy om alleen het strict noodzakelijke beschikbaar te stellen en verkeer te kunnen monitoren op afwijkend gedrag.

Ik snap dat Kaseya veel gebruikt is om externe toegang te geven tot klant omgevingen en dat VPN daarin extra complexiteit toevoegt. Maar in deze wereld zijn 0-days aan de orde van de dag en wil je dus heel kritisch kijken naar wat je via het internet beschikbaar stelt.

Blijft overigens over dat VPN oplossingen ook 0-days kunnen bevatten. Ook daarvoor geld, als iemand een VPN verbinding kan maken met je omgeving, kun je door meerdere lagen van beveiliging de impact verkleinen en de kans om te reageren vergroten.

Iedereen snapt dat je OT systemen niet aan het internet moet verbinden. Maar eigenlijk moet je niets aan het internet willen verbinden, tenzij het strikt noodzakelijk is. En als het aan het internet verbonden is, wil je het zoveel mogelijk scheiden van de rest van je netwerk (compleet los, in een DMZ, niet in het domein etc).
Of anders gezegd, zijn er leveranciers die met een validatie (of een hackercommunity) een veilig(er) concept voor centraal beheer aanbieden?
Als je bovenstaande principes toepast wordt dit minder belangrijk. Kijk maar naar Microsoft en Exchange/Hafnium of SolarWinds. Als zij al moeite hebben met dit proces, wat verwacht je dan van andere (vaak kleinere) partijen?

[Reactie gewijzigd door BytePhantomX op 23 juli 2024 01:52]

dezejongeman @BytePhantomX6 juli 2021 13:22
ja en nee, de opzet leent zich daar bij mijn weten niet voor. Een managed device heeft een agent op de machine geïnstalleerd staan. deze agent heeft een 1 of meestal meerdere DNS records naar de VSA staan. met deze records zet de agent een verbinding op naar de VSA vanwaaruit de VSA voor management inhaakt op de sessie om beheer uit te voeren.

Dit over VPN's schaalt niet, zeker niet als je als MSP bij een klant alleen de agent met machine beheerd. wat als die laptop eens bij een fastfood keten op de wifi gaat, dan is die ineens direct niet meer te beheren. En hoe doe je dat gedurende onderhoud, hoe behoud je die tunnel e.d. Daarnaast werken

Wat kaseya hier had moeten doen is hun eigen folders niet uitsluiten voor anti-virus e.d. en zou kaseya moeten adviseren om haar VSA achter een reverse proxy te plaatsen en aan moeten geven hoe het systeem op de juiste manier werkt om de reverse proxy juist op te configureren. Dan behoud je de flexibiliteit en ben je alsnog veilig. en ja op de management kant tussen admin en vsa portaal moet wel MFA natuurlijk, maar daar lijkt met deze hack aan authenticatie voorbij gegaan, dus had MFA ook niets uitgehaald.
BytePhantomX @dezejongeman6 juli 2021 13:35
Misschien niet goed uitgelegd, maar de beheeromgeving van Kaseya, daar waar je als beheerder op inlogt was in deze gevallen benaderbaar vanaf het internet. Die beheeromgeving is aangevallen en misbruikt. En precies die omgeving moet je niet direct aan het internet hangen, maar achter een VPN.

Als het nodig is dat Kaseya aan het internet hangt om agents te kunnen laten rapporteren, dan kun je alsnog, door bijvoorbeeld een reverse proxy, alleen die API beschikbaar stellen en niet het portaal waar je als beheerder op inlogt. Als dat allemaal hetzelfde is, dan moet je jezelf afvragen of je een goede leverancier hebt gekozen.

Dat het dan overigens niet zou werken met een VPN betwijfel ik. Dat het een stuk ingewikkelder is, dat zeker. Maar daar hoor je een risico-analyse voor te doen. Risico bepalen en kosten en baten tegen elkaar afwegen. Met de kennis van nu zou ik het risico niet acceptabel vinden en zou ik naar oplossingen zoeken waarbij het uitgangspunt is dat de tooling niet aan het internet hangt.
Wat kaseya hier had moeten doen is hun eigen folders niet uitsluiten voor anti-virus e.d.
Als klant moet je jezelf dan al afvragen of de software met de juiste uitgangspunten is gebouwd.

Edit: Bovenstaande opmerking corrigeer ik. Ik begrijp dat het standaard practice is van o.a. Microsoft om uitzonderingen te maken voor AV. https://twitter.com/GossiTheDog/status/1412374461437841408
Daarmee is Kaseya dus duidelijk geen uitzondering.

[Reactie gewijzigd door BytePhantomX op 23 juli 2024 01:52]

campr112 @BytePhantomX8 juli 2021 07:20
VPN? Veel makkelijker met mutual SSL als het gaat om een https verbinding. En omdat er signalen zijn dat de aanval met Curl is gedaan, lijkt me dit meer dan mogelijk.

Mij sowieso een raadsel, waarom ze niet gewoon een tool hebben gemaakt die de server uitzette dmv de aanvalsvector of via de management tool van Kaseya. Als al deze servers op het internet stonden en ze de IPs wisten bij Kaseya (meeste bedrijven verzamelen dit soort data wel). Zo waren ze de aanvallers ver voor gebleven.

[Reactie gewijzigd door campr112 op 23 juli 2024 01:52]

Xfade @BytePhantomX6 juli 2021 17:55
Het zou ook meehelpen dat AV software en firewalls ook de inhoud van Kaseye folders enzo mochten scannen -_- . Nu mocht alles gewoon in die mappen gedownload en uitgevoerd worden.
densoN @lvmeijer6 juli 2021 12:26
Zorg ervoor dat je leveranciermanagement proces op orde is. Aandachtspunten kunnen zijn:
  • kwaliteitsnormen;
  • disaster recovery;
  • security functionarissen (security officer, privacy officer, data protection officer);
  • internal/external audits.
De focus bij veel organisaties ligt nog steeds op functionaliteiten en kosten. Hoe de achterkant georganiseerd is komt, op de beschikbaarheid van support diensten, vaak nauwelijks ter sprake.

[Reactie gewijzigd door densoN op 23 juli 2024 01:52]

thibaultvdb 6 juli 2021 10:03
Vreemd, de originele ransom gericht aan individuele organisaties is in monero. De overkoepelende vraag voor de masterkey is in bitcoin. Een mix van groepen aan het werk?
AuteurTijsZonderH Nieuwscoördinator @thibaultvdb6 juli 2021 10:05
Ik begreep dat je in Amerika veel minder makkelijk Monero kan kopen bij exchanges maar weet niet meer precies waarom. Het feit dat ze nu btc vragen is, in combinatie met de verlaagde prijs, een mogelijk teken dat ze vooral snel willen cashen.
thibaultvdb @TijsZonderH6 juli 2021 10:27
De meeste usa exchanges gebruiken fractional reserve systemen, net als banken. Ik denk dat er niet genoeg liquiditeit is in monero op de mainstream exchanges. Enkel kraken lijkt zijn zaakje op orde te hebben als ik kijk naar de withdrawal problemen.
rcoranje 6 juli 2021 10:14
Heel interessant allemaal, zij het voor mij vaak niet of nauwelijks te volgen. Maar waarom wordt nooit die vraag gesteld die mij volstrekt logisch lijkt: hoe is het mogelijk dat criminelen zich ongestraft op internet kunnen uitleven en hoe maken we daar een eind aan? Van slimme it-oplossingen zullen we het daarbij niet moeten hebben, want daar weten criminele hackers wel weg mee.
jongbj @rcoranje6 juli 2021 10:58
Om te kunnen vervolgen zal je eerst de daders moeten achterhalen.
Met de komst van crypto's is het veel lastiger om b.v. geldstromen te volgen naar de daders toe.
Met de afname van cash is dat dus de oplossing voor de creatieve crimineel.

Een oplossing zou kunnen zijn om gewoon een einde te maken aan crypto valuta.
thibaultvdb @jongbj6 juli 2021 11:39
Net als encryptie, dat zouden we ook moeten verbieden. Wie durft er nu het individu boven de staat te plaatsen. Zorgt enkel voor problemen. /s
Nickvda @jongbj6 juli 2021 13:21
En dan verzinnen we weer wat nieuws.. Het is een arms race.
hamsteg @jongbj6 juli 2021 14:24
Het probleem zit hem in het internet protocol dat niet voorzien is op dit soort misbruik. Men ging uit van positive path usage en niet van het negatieve (zoals zowat alle software trouwens). Een afzender is bijvoorbeeld niet gegarandeerd en de data kan zijn gemanipuleerd. Het bestaansrecht van VPN's zou eigenlijk helemaal niet nodig moeten zijn.

Het liefste zou je het internet protocol weer fool-proof willen maken ... alleen dat is met de kennis van nu en met een paar jaar is ook dat weer te omzeilen plus dat het het een mega-mega operatie is ... bijna alle hardware zal niet meer functioneren op dat nieuwe netwerk! Tijd is iets vervelends want als je ergens iets oplost ontstaat er later ergens anders weer een opening door nieuwe technieken, hogere verwerkingssnelheden en nieuwe kennis.

De oplossing? Accepteer dat dit gebeurt en zorg voor de juiste back-ups (juist dus ook off-line!!).Heb dat proces dicht, richt je bedrijfsprocessen zo in dat herstel onderdeel is van je dagelijkse werkwijze. Besef echter altijd, het gaat een keer fout ...
rcoranje @jongbj6 juli 2021 17:16
Dat zou sowieso moeten gebeuren. Piramidespel voor criminelen, energieslurpend en oncontroleerbaar.
OxWax @rcoranje6 juli 2021 10:18
het internet heeft geen grenzen (behalve the great wall of China dan) . Rusland levert ook niet uit dus vandaar opereer je straffeloos.
Fireshade @OxWax7 juli 2021 09:09
(behalve the great wall of China dan)
Voeg daarbij maar alvast "the internet of Russia" toe :P
https://www.bbc.com/news/technology-50902496
bigbadbull @Fireshade7 juli 2021 10:33
the internet of russia blijk voor Rusland vooral inkomend te zijn en héél waarschijnlijk nog op 2 of 3 snelheden, dat laatste is mijn speculatie.
verantwoording voor de 2 a 3 snelheden.
* Poetin is niet vies van spionage, understatement als ex-KGB
* Poetin wil zijn vriendenclubje en oligarchen te vriend houden
* Poetin heeft er baat bij dat de rest van de wereld niet zo vlot draait
en zo kan ik/je nog een tijdje doorgaan.
Evil_king @OxWax6 juli 2021 11:58
Ben benieuwd of dit soort ontwikkelingen dan op een gegeven moment toch gaan leiden tot de opkomst van landelijke internetten, of iets als een EU-internet. Kan zomaar, want vanwege die moeilijke traceerbaarheid én allerlei internationale issues/verdragen/niet-uitleveren komen we zo niet verder.
En zo'n landelijk gecontroleerd internet heeft dan ook weer allerlei nadelen en implicaties......
CPOMendez @rcoranje6 juli 2021 10:24
Omdat het zeer lastig is de criminelen op te sporen. aan te houden. Buiten het verhullenv an IP's en de routes die ze gebruiken, heb je ook vaak met internationale wetten en uitleveringen te maken, immers kunnen de hackers zich overal bevinden. Mochten ze dan nog officieus gesponsord worden door een buitenlandse overheid, dan wordt het nagenoeg onmogelijk.
CAPSLOCK2000
@rcoranje6 juli 2021 10:45
Maar waarom wordt nooit die vraag gesteld die mij volstrekt logisch lijkt: hoe is het mogelijk dat criminelen zich ongestraft op internet kunnen uitleven en hoe maken we daar een eind aan? Van slimme it-oplossingen zullen we het daarbij niet moeten hebben, want daar weten criminele hackers wel weg mee.
Die vragen hoeven we niet te stellen omdat de antwoorden duidelijk zijn. Je geeft het belangrijkste antwoord eigenlijk zelf al. Met alleen techniek komen we er niet, je moet de daders ook opsporen en straffen en dat gaat niet als het land waarin ze wonen daar niet aan kan of wil meewerken. De oplossing is een combinatie van politieke druk en, waar nodig, technische en financiele steun.

Dat neemt niet weg dat goede IT ook een grote rol speelt. Ook criminelen gaan bij voorkeur voor het makkelijkste slachtoffer. Wat dat betreft is het niet anders dan fietsendiefstal. Als het om fietsen gaat snappen we dat je soms meer aan een slot uitgeeft dan aan de fiets zelf, want zonder dat slot moet je niet alleen iedere week naar huis lopen maar ook steeds een nieuwe fiets kopen. Dat is in de IT eigenlijk ondenkbaar, daar wordt veiligheid nog steeds gezien als extra en dat mag niet meer dan een klein deel van de kosten zijn.

Pragmatisch gezien zullen we het toch vooral van betere IT moeten hebben want politieke druk uitoefenen op hele landen is voor de meeste bedrijven niet realistisch. Die aanpak is ook nodig om het minder lucratief te maken. Hoe moeilijker het is om zo'n digitale overval te plegen hoe minder mensen het zullen proberen. Het is nu veel te makkelijk.
dutchgio @rcoranje6 juli 2021 11:17
De malware sluit vaak het land van herkomst uit, waardoor instanties in het eigen land niet achter ze aan gaan. Zeker bij landen als Rusland welke niet aan uitleveringen doen of meehelpen aan internationale onderzoeken tegen cybercrime bemoeilijkt dit dan ook de opsporing van de daders.
Dekar @rcoranje6 juli 2021 12:31
Dat is onmogelijk. Alles is altijd te hacken. Je kan je bedrijf zo secure mogelijk maken en je personeel maximaal trainen in cyber security en dan je vingers kruisen dat het allemaal veilig genoeg is.

Wij kunnen bv alleen met bedrijfshardware op onze bedrijfsnetwerken. Op die laptops kan je niks installeren, unzippen. Verder hebben wij jaarlijks een cyber security training. Verder draait er altijd een proxy, firewall, VPN, virusscansoftware etc.

Maar goed, er hoeft maar 1 medewerker een USB stick in zijn laptop te steken en op een besmet bestandje te klikken, of op de verkeerde link in een mail en je bent al de klos.
Iblies @rcoranje6 juli 2021 13:15
en met dat geld kunnen ze steeds grotere en heftigere aanvallen uitvoeren. Kan een ict-afdeling met een budget van een paar honderdduizend euro per jaar echt nog opboksen tegen criminelen die miljoenen te besteden hebben?
Omdat deze verklaring klinkklare onzin is. Met een raspberry kun je een complete organisatie platleggen.
Kaseya VSA, of Virtual Systems Administrator, is een tool om software op afstand te beheren en waarmee bijvoorbeeld patches kunnen worden doorgevoerd, gebruikers worden toegevoegd of back-ups kunnen worden gemaakt. Het is een krachtige tool die diepgaande rechten heeft in de systemen van eindafnemers. Daarmee is het een perfecte tool om computers aan te vallen die gebruikmaken van de software. Dat is precies wat er gebeurde; hackers wisten via Kaseya VSA bedrijven te infecteren met malware.
Een kink in de kabel en de rest wordt meegetrokken. Wil je het veiliger hebben, dan wil je dergelijke situaties vermijden en lokaal uitvoeren.

Nu wordt er een verklaring afgelegd over “malware”, maar er zijn meerdere manieren om het te omzeilen. Nu de bedragen hoger worden is omkoping een veel makkelijkere optie dan energie steken in daadwerkelijk zero-days.
Dat omslagpunt wordt met rasse schreden genaderd aangezien data overal en nergens op de wereld staat opgeslagen voor ict-“support”. En zie daar maar eens achteraan te gaan. Goedkoop wordt dan duurkoop.
Bkim @rcoranje6 juli 2021 14:24
Er wordt pas een eind aan gemaakt zodra de boeven makkelijk te achterhalen zijn en via snelrecht berecht worden en dat gaat nooit gebeuren. Boeven hebben vrij spel en de miljoenen bitcoins liggen letterlijk voor het oprapen.
robertpNL 6 juli 2021 11:02
De enige oplossing hierin is de introductie van een gesloten (nationaal/europees) internet netwerk met geautoriseerde ip-verbindingen naar andere continenten. Hiermee wordt ander verkeer standaard geblokkeerd.

Aanvallen binnen dit netwerk zijn te traceren en kan je het land op aanspreken en eventueel direct afsluiten totdat het land dit heeft opgelost.

En ja, dit idee klinkt onrealistisch, heel veel vragen over, privacy, open-internet is weg etc., maar het is wel de enige oplossing om bedrijven en consumenten te beschermen voor aanvallen en om criminaliteit op Internet beter aan te pakken.

Klinkt dit onrealistisch? Misschien. Maar heel eerlijk denk dat ik dit wel een keer gaat gebeuren,

[Reactie gewijzigd door robertpNL op 23 juli 2024 01:52]

Snow_King @robertpNL6 juli 2021 11:12
Is dat zo? Ik vind het behoorlijk schokkend dat je tooling op een desktop/laptop/server hebt draaien die superuser rechten heeft en van een externe partij is.

Daar zit hier toch continue het grote probleem lijkt het. Waarom heb je tooling draaien van een externe leverancier die zo veel rechten in je netwerk heeft?

Ik heb de leiding over een netwerk van enkele duizenden Linux servers en daar is dit gewoon niet aan de orde. We hebben intern zelfs niet eens 1 tool die root rechten heeft op alle servers. Ook daar hebben we segmentatie.

Bij deze aanval zie ik ook dat simpelweg met 'netsh' aanvallen vanaf 'het netwerk' werden uitgevoerd. Ja, omdat alles in 1 Layer2/VLAN netwerk zit en daardoor bij elkaar kan.

Als je netwerk segmentatie met daar tussen firewalling toe past kan je zoiets ook voorkomen.

Ik durf toch wel te stellen dat het meerendeel van de bedrijven die hierdoor getroffen wordt gewoon niet goed na denkt over hun security. Alles in 1 groot VLAN stoppen met amper firewalling er tussen. Lekker makkelijk, maar niet veilig.
robertpNL @Snow_King6 juli 2021 11:22
Uiteraard is dat schokkend en misschien ongewenst om tooling van externe met superuser rechten te hebben. En Linux is nu niet dan aan de order, maar als Linux aandeel groter wordt, verplaatst dit probleem natuurlijk ook naar Linux. Er is al een Linux variant van Revil ransomware gevonden.
Snow_King @robertpNL6 juli 2021 11:28
De essentie van de aanval is niet Windows vs Linux, uiteraard kan dit ook op Linux. Wel hebben aanvallers met Windows een voordeel: Het ziet er vaak allemaal veel uniformer uit.

Maar het geval is en blijft dat er externe tooling is die zo maar superuser rechten heeft en zo zichzelf supersnel kan verspreiden.

Linux tooling die zoiets ook zou kunnen: https://landscape.canonical.com/

Klinkt fantastisch, maar een inbraak bij Canonical zou er voor kunnen zorgen dat duizenden Ubuntu Linux systemen getroffen worden.

Daar moeten we het gesprek over hebben.
barbarbar @Snow_King6 juli 2021 12:13
We hebben voor onze monitoring ook lang gezocht naar tooling die geen agent met veel rechten nodig is op de servers. Uiteindelijk hebben we ervoor gekozen om de monitoring volledig van buitenaf te doen, dus de monitor server checkt de van buitenaf toegankelijke eindpunten zoals api's. Die keuze is ook volledig ingegeven vanuit beveiliging, als je een agent op je server draait die alles mag dan heeft je andere beveiliging ook geen zin.

Ook staat op elke server de firewall aan, ook op interne onderlinge netwerken. Servers vertrouwen elkaar niet, alleen strikt noodzakelijk poorten staan onderling open. Dat kost amper extra resources, maar geeft wel meer vertrouwen dat we zulke situaties als dit niet snel meemaken.
Elke server heeft een eigen inlog, we werken niet met admin accounts vanuit een active directory die overal bij kan. De wachtwoorden opvragen worden gelogd en geaudit.
En als laatste algemene regel hanteren we één softwarepakket op een server, en in ieder geval opgedeeld in databases, backend api's en frontend. Dan vergt een installatie soms drie of meer vm's, maar qua kosten maakt dat geen bal uit want in de cloud betaal je toch alleen maar voor gebruikte resources, en die zijn maar marginaal meer als je het opdeelt. Dit zorgt ervoor dat we updates zoveel mogelijk kunnen doorvoeren. Als er iets niet goed gaat met updaten, dan hebben we maar met één klein stukje van de omgeving te maken.

[Reactie gewijzigd door barbarbar op 23 juli 2024 01:52]

Snow_King @barbarbar6 juli 2021 13:19
Prima keuzes! Al kan een Agent ook prima, zolang deze Agent maar niet als 'root' draait (Onder Linux).

Zo maken wij gebruik van Zabbix met zijn Agent. Deze draait als de user 'zabbix' en heeft daarmee zeer beperkte rechten.

Het punt bij deze aanval blijft dat ze bij een externe leverancier een kwetsbaarheid vinden en vervolgens op jouw systemen code kunnen uitvoeren waarmee ze de bestanden locken. Defender uitzetten enzo. Dat zou niet mogen.
barbarbar @Snow_King6 juli 2021 13:40
Zabbix hebben we ook bekeken en getest, maar met zo'n agent blijf je het probleem houden dat daar maar één foutje in hoeft te zitten die privilege escalation mogelijk maakt, of via een bepaalde logging toch inloggevens of cookies van andere accounts kan achterhalen (bijvoorbeeld per ongeluk slecht geconfigureerde webapp die de login data niet wegfiltert in het log).

We zijn zeker niet gevrijwaard van problemen met ransomware op onze manier, want je kiest toch vaak voor dezelfde inrichting qua server software (apache, iis, sql etc). Een zero-day daarin zal ook bij ons gevolgen hebben waar we over na denken, en welke niet met meer of duurdere IT opgelost kunnen worden.

Qua bedrijfsvoering hebben we een lijstje met meest belangrijke processen tot minst belangrijke. Voor de meest belangrijke zorgen we dat medewerkers bij problemen offline verder kunnen, hetzij met significant meer werk. Zo hebben we voor de planning een simpele export naar pdf elke 10 minuten, die pdf wordt door een compleet losstaande server opgehaald. Mocht het ergste gebeuren, dan kan met die pdf's voor een paar dagen lopende projecten afgerond worden. Zo hebben we soortgelijke (eenvoudige) maatregelen op meer plekken gedaan. De bedrijfsvoering zal dan wel trager gaan, maar je voorkomt wel een faillissement mocht er toch iets serieus misgaan.

Nog een voordeel die we ervaren is dat we gebruikers op hun "eigen" systeem vrij veel rechten kunnen geven. Als iemand iets wil doen met nieuwe software of gedownloade dingen, dan vragen we ze simpelweg met ons contact op te nemen zodat we even kunnen meekijken, en zijn daar ook goed en snel voor bereikbaar. Ja dat kost tijd, maar je moet mensen ook gewoon vertrouwen dat ze zelf het beste weten hoe ze hun werk moeten doen en wat ze daar voor nodig hebben, dat gaan wij vanuit de IT afdeling zeker niet opleggen (dat werkt alleen maar averechts).
Evil_king @robertpNL6 juli 2021 12:04
Het stukje van meer nationale/lokale internetten lijkt een logisch gevolg als we niet beter internationaal kunnen samenwerken en landen als Rusland gewoon mee gaan helpen. Het lijkt me niet realistisch of wenselijk dat iemand gelijk maar een ander land (want zo lees ik je zin) kan afsluiten.....want wie gaat die iemand zijn en hoe controleer je die?

Kan me wel voorstellen dat een land zelf kan zeggen: Weet je wat ik doe de deur naar binnen even dicht. Tot dit is opgelost. Geeft ook gelijk een impuls om zaken / diensten binnen de landsgrenzen te ontwikkelen en houden. Fors redunant wordt het dan natuurlijk, maar wel minder gevoelig voor dit soort acties.
Punt wat er dan bijkomt is dat je lokale / europese opsporingsdiensten dan ook genoeg mankracht moeten hebben....anders huren die criminelen gewoon hier een woning en doen ze het van binnenuit :+
foaly @robertpNL6 juli 2021 11:56
je kan ook cryptocurrencies verbieden en alle geldstromen traceerbaar maken zodat het niet meer loont om te doen omdat de pakkans te groot is
robertpNL @foaly6 juli 2021 13:41
Cryptocurrencies verbieden is onmogelijk. Men vindt manieren om de wetten en regels te omzeilen. Mede ook dat het decentraal is opgezet (blockchain). Crypto exchanges uit de lucht halen is ook geen optie. Genoeg illegale sites die overblijven. Bedrijven verbieden crypto te accepteren lost je dit probleem met ransonware ook niet op.
foaly @robertpNL6 juli 2021 13:48
Je kan het natuurlijk wel verbieden, dat mensen manieren vinden om wetten en regels te omzeilen is geen reden om iets niet te verbieden (dan kan je niets verbieden). Als je het verbiedt dan verliest het mainstream support en dan zal hoogstwaarschijnlijk de waarde instorten en het niet meer rendabel zijn om het te gebruiken. Mijn verwachting is dat dan weer teruggevallen wordt op dingen als Amazon tegoedkaarten, en dat is met dit soort bedragen onwerkbaar. Het is een extreme aanpak, maar jouw suggestie is niet minder rigoureus en gezien de hoeveelheid exploits in vrijwel alle soft- en hardware vrees ik dat dat ook dat niet 100% waterdicht zal blijken.
Maar dit is gestaafd op aannames, dat is zeker waar.

[Reactie gewijzigd door foaly op 23 juli 2024 01:52]

thibaultvdb @foaly6 juli 2021 14:45
Je kan alles verbieden maar als het product ook maar een klein beetje mainstream support heeft gaat de prijs omhoog en de kwaliteit omlaag bij een verbod. Alcohol en cannabis zijn goede voorbeelden. Nog een voorbeeldje dat verder gaat: Als de taxen (analoog aan te veel regulering in crypto/software/internet/..) te hoog zijn zorg je enkel en alleen voor een grotere zwarte markt zoals bij sigaretten. De totale marktgrootte blijft gelijk, de vraag verandert niet.

Dat je de vraag naar een product kan verminderen met regelgeving is een fabeltje. Meer dan de helft van de sigaretten in New York zijn afkomstig van de zwarte markt. Gaat een beetje het doel van de hoge taxen voorbij nee? De enige gedupeerde is de eerlijke mens die mooi zijn belastingen betaalt. De beste oplossing is met een beter alternatief komen, in het geval van sigaretten is dat de e-sigaret. Innovatie brengt altijd veel meer teweeg dan regulatie. Het kost minder en het werkt ook nog eens sneller en efficienter.

Reken maar dat de landen die de e-sigaret promoten veel sneller de kost van rokers op het healthcare systeem gaan reduceren dan landen die met hetzelfde budget strengere regels en taxen op sigaretten plaatsen en daar boven op ook nog eens de smaakjes in e-sigaretten gaan verbieden.
foaly @thibaultvdb7 juli 2021 00:27
Dat is gewoon simpelweg niet waar, een voorbeeld dat je met regelgeving het gebruik van dingen kan ontmoedigen is bijvoorbeeld de suiker taks, bekijk de onderzoeken van de WHO maar. Ook het verbieden van dingen heeft daadwerkelijk wel effect kijk maar naar het verbieden van vuurwapens in Australië. Ook het aantal rokers in Nederland neemt gestaag af, dus ook daar voldoende bewijs dat dit soort dingen gewoon werken.
freakandel @foaly6 juli 2021 14:33
Want toen cryptocurrency nog niet bestond was er geen criminaliteit? Echt?
foaly @freakandel7 juli 2021 00:30
Dat zeg ik toch ook precies nergens? Maar de grootschalige ransomware aanvallen en de cryptoboom gaan wel degelijk hand in hand.
https://www.npr.org/2021/...fueled-ransomware-attacks
Daarvoor zag je veel meer ransomware aanvallen op consumenten, grotere schaal kleinere bedragen, omdat de grote bedragen te moeilijk weg te sluizen waren.
juakali @foaly7 juli 2021 12:25
Als ze zo blijven verder doen is dit de doodsteek voor bitcoin en/of andere coins.
Momenteel is het precies dat cryptocurrency geld is voor de criminelen of voor de gokkers.
Coolhva 6 juli 2021 10:33
@thibaultvdb ” Dat is precies wat er gebeurde: hackers wisten een update voor Kaseya VSA te infecteren met malware, en die vervolgens door klanten te laten installeren.”

Hiermee suggereer je dat de VSA server een malafide update kreeg, maar ik lees daar geen bewijs voor.

Zover ik na kan gaan is er een “unauthenticated bypass/file upload” + “sql injection” gebruikt om VSA servers aan te vallen en op deze VSA server een taak aan te maken die de malware naar de endpoints pushed en uitvoert.
AuteurTijsZonderH Nieuwscoördinator @Coolhva6 juli 2021 10:41
Klopt inderdaad, dat was iets te vluchtig opgeschreven. Heb het aangepast.
ikbentochniegek 6 juli 2021 10:52
Wordt een software aanbieder niet verantwoordelijk gehouden voor een lek dat dit soort hacks mogelijk maakt?
Evil_king @ikbentochniegek6 juli 2021 12:01
Kan, maar ik denk dat we ook niet moeten onderschatten hoe goed het is dat bedrijven gemiddeld goed en open meewerken in dit soort situaties. Als je alles gaat bedreigen met sancties, is men minder geneigd zich zo op te stellen en dat is een groter risico.
Niet dat ik zeg dat men geen verantwoordelijkheid moet nemen, maar het is niet zwart-wit.
dvdmeer @Evil_king6 juli 2021 13:22
Ik ben alleen een beetje bang dat het bedrijven niet zo heel veel uitmaakt. Het is even vervelend, een maandje ofzo wat slechtere publiciteit en daarna is het weer business as usual. Bovendien is het tegenwoordig mogelijk om een verzekering af te sluiten voor dit soort dingen dus bedrijven gaan dan het minimale doen om te voldoen aan de eisen voor zo'n verzekering en tijdens audits alleen het minimum doen want als er teveel naar boven komt in een audit dan betekent dit weer extra werk en dus extra kosten. Dus papiertje halen en de rest doorschuiven naar volgend jaar.
Denk dat het alleen maar beter kan worden met een mindset verbetering en dat gaat alleen wanneer het bedrijven zoveel geld kost dat ze hun business wel kunnen sluiten. Iets anders wordt gewoon gezien als "the cost of doing business".
barbarbar @ikbentochniegek6 juli 2021 13:54
Houd je een bank verantwoordelijk als dieven met explosieven een pinautomaat uit de muur blazen? Het is altijd lastig te vergelijken, maar dit zijn hele doelbewuste aanvallen. Dit is niet een inbreker die toevallig een raampje open zag staan en wat geld en sieraden meeneemt. Ik vergelijk dit meer met milities die met zware wapens je huis kapot schieten, alles van waarde vernietigen, en voor losgeld je vrouw en kinderen kidnappen en je als stok achter de deur alvast een verkrachtingsvideo krijgt toegestuurd.

[Reactie gewijzigd door barbarbar op 23 juli 2024 01:52]

ikbentochniegek @barbarbar6 juli 2021 20:25
Ik zie het meer als een bank die je een kluis aan biedt die op een alternatieve manier kan worden open gemaakt.
Als toevoeging.
Stel je rijdt een Volkswagen, en iemand kan op afstand je remmen saboteren, is het dan niet normaal om bij Volkswagen aan te kloppen en te vragen, euh jongens. Hoe kan dit?

[Reactie gewijzigd door ikbentochniegek op 23 juli 2024 01:52]

Risce 6 juli 2021 15:28
Is het bitcoinadres bekend waar de bedragen op overgemaakt moeten worden? Dan kun je namelijk gemakkelijk zien, als dat hetzelfde adres is voor alle ransomnotes, of bedrijven betalen of niet.
AuteurTijsZonderH Nieuwscoördinator @Risce6 juli 2021 20:38
Dat adres staat niet op hun blog maar alleen in de ransomnote. Ben em nog niet tegengekomen maar ik ga er eens naar zoeken
Risce @TijsZonderH7 juli 2021 15:32
Lijkt me voor dit soort zaken een interessante bron, zeker dus als het hetzelfde adres is voor de gehele zaak.

Er zijn in Nederland zeker hobbyisten die dit soort tracing ook doen. Misschien zelfs leuk voor een artikeltje: waar zijn alle bitcoins die verdwenen bij Mt. Gox? https://www.zdnet.com/art...-chance-of-some-recovery/
OxWax 6 juli 2021 09:54
Dat gebeurt niet lukraak op basis van geluk of logisch nadenken, maar harde data. FireEye ontdekte ransomwareaanvallen waarbij de criminelen via Active Directory een Group Policy Object aanmaakten waardoor de ransomware specifiek toesloeg op momenten dat gebruikers waren uitgelogd van de systemen.
Ook dat is toch echt logica. Je analyseert data en trekt dan de logische conclusie wat het beste moment is voor de aanval.

[Reactie gewijzigd door OxWax op 23 juli 2024 01:52]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq