Is je computer gegijzeld?

06 juli 2021

We vertellen de laatste tijd veel over de gevaren van kwetsbaarheden in software en hoe internetcriminelen hiervan gebruik kunnen maken. Als je denkt dat dit ver van je bed is, dan heb je het mis!

Op vrijdag 2 juli zijn er wereldwijd veel bedrijven getroffen door een ransomware-aanval, waarbij computers en servers (systemen) onbruikbaar zijn gemaakt door software die de data heeft versleuteld. Om weer toegang te kunnen krijgen tot de bestanden wordt 70 miljoen dollar geëist!

Is je computer gegijzeld?

Geïnfecteerd met software die data versleuteld (Ransomware)

Als snel werd duidelijk dat Kaseya remote management software te maken heeft met een infectie van ransomware. Kaseya software wordt wereldwijd gebruikt door 40.000 IT-bedrijven, die met deze software systemen van klanten op afstand o.a. kunnen updaten, beheren, back-uppen en controleren. Infracom gebruikt deze software ook, in ons geval om Windows systemen te beheren. 

 

Goed beveiligd bij Infracom

Vrijdagavond om 22.00 uur werd vanuit Kaseya het bericht verstuurd dat er een kwetsbaarheid (lek) was geconstateerd, waarbij servers besmet zouden zijn. Er zijn veel IT-bedrijven die gebruik maken van de servers van Kaseya, Infracom doet dat niet.

Infracom maakt gebruik van eigen servers in haar eigen datacenter en draaien daarop de software van Kaseya. Er is geen directe verbinding met de servers van Kaseya, bovendien draait Kaseya achter een firewall en is daarmee alles goed gedicht.

 

Software updates

In een van de updates van Kaseya software zit de kwaadaardigheid, deze update hebben wij niet geïnstalleerd. We updaten alleen de security updates die invloed hebben op onze situatie, deze is vaak veiliger dan die van andere Kaseya gebruikers, dus veel updates zijn niet voor ons van toepassing. Onze server is vanaf het internet niet bereikbaar, waardoor automatische updates niet kunnen worden uitgevoerd. De randsomware (kwaadaardige software) is voor zover wij hebben onderzocht niet op onze systemen of die van onze klanten geïnstalleerd.

 

Supply chain attack (aanval)

De ransomware aanval is een zogenaamde supply chain aanval, dit is een geavanceerde manier van een ransomware aanval, waarbij een bedrijf wordt getroffen doordat er een aanval vanuit een leverancier (supplier) wordt uitgevoerd. Systemen worden geïnfecteerd d.m.v. de al aanwezige software.

Hoe deze aanval in zijn werk ging:

  1. Bij Kaseya werd een kwetsbaarheid geconstateerd
  2. Internetcriminelen hebben gebruik gemaakt van de kwetsbaarheid, waardoor kwaadaardigheid is binnen gelaten op de systemen.
  3. Klanten van Kaseya, de IT-bedrijven die gebruik maken van Kaseya software krijgen via (automatische) updates malware op hun systemen
  4. Klanten van de IT-bedrijven worden geïnfecteerd met de malware/ransomware
  5. De hele keten wordt getroffen.

Uit voorzorg hebben we op dit moment de Supply Chain verbroken. We halen geen updates meer op bij Kaseya en installeren geen updates bij onze klanten, totdat we nader bericht hebben gehad van Kaseya.
 

Bescherm je bedrijf tegen een supply-chain-aanval!

  • Zorg voor goede back-ups
  • Zorg voor Anti ransomware protectie

Cyber criminelen worden steeds geavanceerder en steeds slimmer, wees voorbereid en volg de adviezen van onze ICT-specialisten.

 

Lees meer in de volgende blogs en pagina’s:

Pagina delen: