Kaseya, leverancier van ICT-beheersoftware, doet onderzoek naar een ransomware-incident. Cybersecuritybedrijf Huntress Labs stelt dat Kaseya doelwit is geworden van een supply-chain-aanval, waarbij klanten die het product VSA gebruiken, doelwit kunnen worden van de REvil-ransomware.
VSA is een product voor beheer op afstand, dat gebruikt wordt door veel managed service providers. Afnemers hebben een zogenaamde VSA-agent op hun beheerde systemen geïnstalleerd. De aanval lijkt beperkt tot die zelf gehoste variant van de software, maar Kaseya heeft uit voorzorg ook zijn eigen SaaS-servers tijdelijk uit de lucht gehaald.
Huntress Labs heeft inmiddels 8 managed service providers geïdentificeerd die kampen met ransomware-incidenten.
Het Nationaal Cyber Security Centrum (NCSC) adviseert beheerders van Kaseya VSA-servers om de Kaseya VSA server uit te schakelen, in elk geval tot er meer informatie bekend is.
Ook Nederlandse servers
“We hebben gezien dat voor deze aanval ook misbruik is gemaakt van een aantal Nederlandse domeinnamen”, voegt Stefan van der Wal toe, pre-sales consultant bij cybersecurityleverancier Barracuda. “Het gaat dan om onschuldig klinkende domeinnamen, zoals ‘koken-voor-debaby.nl’ of ‘lachofikschiet.nl’, die door URL-filters niet als potentieel risicovol worden gezien. Deze domeinnamen worden gebruikt voor het draaien van command & control servers. De eigenaren van de meeste van deze domeinen zijn inmiddels gewaarschuwd.”
Back-up
Dit incident toont volgens Van der Wal aan dat bedrijven zich moeten voorbereiden op een ransomware-aanval waar ze vroeg of laat het slachtoffer van worden. “Als zo’n aanval succesvol is, moet er een helder plan van aanpak liggen om ervoor te zorgen dat ze het losgeld niet hoeven te betalen. Een up-to-date back-up, die volledig gescheiden is van de productie-infrastructuur en zo buiten schot van de ransomware-aanval blijft, is een absolute vereiste voor herstel na zo’n aanval”, stelt Van der Wal.
“Het is daarbij niet voldoende om alleen een back-up te maken van de directe productiedata. Alle data op het netwerk moeten meegenomen worden in de back-up, inclusief configuratiebestanden, gebruikersdocumenten en gearchiveerde gegevens rond werknemers, klanten, enz. ”
