Kaseya gebruikt voor ransomware aanval

Home / Nieuws / Kaseya gebruikt voor ransomware aanval

Kaseya gebruikt voor ransomware aanval

12 april 2019

Ransomware aanval via MSP stelt klanten machteloos
Een kwetsbare plugin voor de remote management tool Kaseya gaf aanvallers een manier om systemen en data van alle klanten van een in de VS gevestigde MSP te versleutelen.

Een hacker heeft deze week endpointsystemen en servers van alle klanten van een in de VS gevestigde serviceprovider versleuteld door gebruik te maken van een kwetsbare plugin van Kaseya welke door de MSP werd gerbruikt voor remote monitoring en als beheertool.

De tool die wordt gebruikt voor het beheren en monitoren van klant systemen werd nu tegen hen gebruikt.

Veel MSP’s gebruiken Kaseya’s VSA RMM-tool om client systemen en servers op afstand te monitoren en te beheren. De kwetsbare plugin voor Kaseya die bij de MSP-aanval zelf werd uitgebuit, kwam van ConnectWise en wordt gebruikt om de supporttickets die in Kaseya zijn verzameld te beheren.

Het betreft hier een plugin welke gebruikt wordt voor de “on-premises” Kaseya deployement variant.
De kwetsbaarheid gaf de aanvallers een manier om commando’s op afstand uit te voeren waardoor ze volledige toegang tot de Kaseya VSA database konden krijgen en zodoende in staat waren om de RMM-tool te gebruiken alsof ze een beheerder bij de MSP waren. Dit gaf ze de mogelijkheid om een uitvoerbaar bestand (Gandcrab ransomware) te plaatsen op elk systeem wat door de MSP werd beheert.
Het uitvoerbare bestand Gandcrab is een wijdverspreid ransomwarehulpmiddel dat eerder bij talrijke aanvallen is gebruikt.

De aanval resulteerde in circa 2000 versleutelde systemen en er werd een bedrag van 2,6 miljoen dollar aan losgeld aan de MSP gevraagd.

Bron: DarkReading

Toenemende zorgen
Aanvallen op MSP’s zijn een groeiend probleem.
De Amerikaanse overheid waarschuwde al in oktober 2018 voor aanvallen op managed service providers, partijen die bij organisaties, overheden en bedrijven op afstand it-systemen en netwerken beheren. Volgens het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT) is het aantal organisaties dat van managed service providers gebruikmaakt de afgelopen jaren toegenomen.

De zorgen over dergelijke aanvallen zijn zo hoog dat het “Cybersecurity and Infrastructure Security Agency of the Department of Homeland Security” middels een briefing MSP’s op de hoogte heeft gesteld van, met name, Chinese cyber aanvallen op MSP’s.

Zie Alert (TA18-276B) Advanced Persistent Threat Activity Exploiting Managed Service Providers

×