Geïnfecteerd met software die data versleuteld (Ransomware)
Als snel werd duidelijk dat Kaseya remote management software te maken heeft met een infectie van ransomware. Kaseya software wordt wereldwijd gebruikt door 40.000 IT-bedrijven, die met deze software systemen van klanten op afstand o.a. kunnen updaten, beheren, back-uppen en controleren. Infracom gebruikt deze software ook, in ons geval om Windows systemen te beheren.
Goed beveiligd bij Infracom
Vrijdagavond om 22.00 uur werd vanuit Kaseya het bericht verstuurd dat er een kwetsbaarheid (lek) was geconstateerd, waarbij servers besmet zouden zijn. Er zijn veel IT-bedrijven die gebruik maken van de servers van Kaseya, Infracom doet dat niet.
Infracom maakt gebruik van eigen servers in haar eigen datacenter en draaien daarop de software van Kaseya. Er is geen directe verbinding met de servers van Kaseya, bovendien draait Kaseya achter een firewall en is daarmee alles goed gedicht.
Software updates
In een van de updates van Kaseya software zit de kwaadaardigheid, deze update hebben wij niet geïnstalleerd. We updaten alleen de security updates die invloed hebben op onze situatie, deze is vaak veiliger dan die van andere Kaseya gebruikers, dus veel updates zijn niet voor ons van toepassing. Onze server is vanaf het internet niet bereikbaar, waardoor automatische updates niet kunnen worden uitgevoerd. De randsomware (kwaadaardige software) is voor zover wij hebben onderzocht niet op onze systemen of die van onze klanten geïnstalleerd.
Supply chain attack (aanval)
De ransomware aanval is een zogenaamde supply chain aanval, dit is een geavanceerde manier van een ransomware aanval, waarbij een bedrijf wordt getroffen doordat er een aanval vanuit een leverancier (supplier) wordt uitgevoerd. Systemen worden geïnfecteerd d.m.v. de al aanwezige software.
Hoe deze aanval in zijn werk ging:
- Bij Kaseya werd een kwetsbaarheid geconstateerd
- Internetcriminelen hebben gebruik gemaakt van de kwetsbaarheid, waardoor kwaadaardigheid is binnen gelaten op de systemen.
- Klanten van Kaseya, de IT-bedrijven die gebruik maken van Kaseya software krijgen via (automatische) updates malware op hun systemen
- Klanten van de IT-bedrijven worden geïnfecteerd met de malware/ransomware
- De hele keten wordt getroffen.
Uit voorzorg hebben we op dit moment de Supply Chain verbroken. We halen geen updates meer op bij Kaseya en installeren geen updates bij onze klanten, totdat we nader bericht hebben gehad van Kaseya.
Bescherm je bedrijf tegen een supply-chain-aanval!
- Zorg voor goede back-ups
- Zorg voor Anti ransomware protectie
Cyber criminelen worden steeds geavanceerder en steeds slimmer, wees voorbereid en volg de adviezen van onze ICT-specialisten.
Lees meer in de volgende blogs en pagina’s: