Megahack Kaseya-software: hackers eisen 59 miljoen euro losgeld

Vrijdagmiddag druppelden de eerste berichten door van een hack op Kaseya. Een aan Rusland gelinkte groepering wist in te breken bij de softwareleverancier uit Amerika, waarmee het toegang kreeg tot organisaties over de hele wereld. Inmiddels lijkt het te gaan om één van de grootste cyberaanvallen ooit.

Kaseya levert IT-managementsoftware aan IT-dienstverleners. Via VSA-software van het Amerikaanse bedrijf werd ransomware verspreid. Omdat de software door veel IT-dienstverleners wordt gebruikt om systemen van klanten te beheren, was het bereik van de hackers, en daarmee de impact van de aanval enorm. Wereldwijd zijn bedrijven getroffen.

Nadat de hack vrijdag bekend werd, kwamen de eerste meldingen binnen van getroffen bedrijven. Wereldwijd hebben honderden bedrijven last van de aanval. Zo moest in Zweden supermarktketen Coop zaterdag bijna 800 winkels tijdelijk sluiten, omdat de kassasystemen waren lam gelegd.

Ook Nederlandse bedrijven slachtoffer

Ook Nederlandse bedrijven zijn getroffen door de aanval. Hoeveel is nog onduidelijk, maar enkele getroffen IT dienstverleners hebben op hun beurt honderden klanten, waarvan mogelijk de systemen geïnfecteerd zijn geraakt. De werkelijke omvang was nog moeilijk in te schatten, omdat de aanval in het weekend plaatsvond en veel bedrijven dus gesloten waren.

Een groep ethische hackers uit Nederland stond op het punt om de ransomware-aanval te voorkomen, maar was net te laat. Een lid van de groep Dutch Institute for Vulnerability Disclosure (DIVD), een groep bestaande uit ervaren cyberspecialisten, werd onlangs door een bedrijf ingehuurd om software te testen. Daarbij stuitte hij op een programma van het Amerikaanse IT-bedrijf Kaseya, waarmee mensen op afstand een computer kunnen beheren. Het lukte hem niet meteen om het programma te hacken, maar na een poosje ontdekte hij een lek en kreeg hij zonder in te loggen toegang tot het systeem.

Binnen een paar dagen werkten de Nederlanders samen met de hoogste technische medewerker van Kaseya, meldt Vrij Nederland. Het was de bedoeling om een software-update uit te brengen waarmee klanten het lek konden dichten, maar dat lukte dus helaas niet op tijd.

Losgeld

De hackergroep REvil die de megahack heeft opgeëist is een aan Rusland gelinkte hackersgroepering. Inmiddels hebben de hackers via een blog op het darkweb een losgeldbedrag geëist van 70 miljoen dollar (ongeveer 59 miljoen euro) in bitcoin. In ruil daarvoor zou een universele decoderingssleutel beschikbaar komen, waarmee slachtoffers weer toegang zouden moeten krijgen tot hun bestanden.

Servers direct offline halen

Kaseya heeft klanten direct geadviseerd om alle VSA-servers offline te halen. Er moet een patch worden geïnstalleerd voordat de VSA opnieuw kan worden opgestart. Sinds zaterdag is een detectietool beschikbaar voor Kaseya VSA-klanten.

Securityexperts zijn direct een onderzoek gestart en ook werden overheidsinstanties ingelicht, waaronder de Amerikaanse FBI en CISA. Zelfs president Joe Biden heeft zijn inlichtingendiensten opdracht gegeven de zaak te onderzoeken.

Cybercriminaliteit-as-a-Service (CaaS)

Gelukkig zien we inmiddels bij steeds meer MKB-organisaties dat het nemen van goede maatregelen serieus genomen wordt. Al is het maar omdat organisaties steeds meer digitaal werken en de impact van dergelijke incidenten verder toeneemt.

Toch toont ook deze aanval maar weer aan dat cybercriminaliteit zich ontwikkelt tot een complexe, zeer goed georganiseerde business. In de hackers community is cybercriminaliteit-as-a-service zelfs al een bestaand begrip. Hacking tools, botnets en toegang tot systemen, zijn te koop. Criminelen die zelf niet de kennis of resources hebben kunnen CaaS afnemen. Zeker ransomware en financiële malware zijn steeds toegankelijker geworden en naar verwachting neemt dit alleen maar verder toe.