Kaseya-topman: Tot vijftienhonderd bedrijven getroffen
Achthonderd tot vijftienhonderd bedrijven zijn slachtoffers van de recente ransomwareuitbraak die plaatsvond via software van Kaseya. Dit meldt topman Fred Voccola tegen Reuters. Aangezien klanten van Kaseya-klanten zijn getroffen, is het exacte aantal onduidelijk.
Bij de cyberaanval verspreidden cybercriminelen ransomware via de VSA-beheersoftware van Kaseya. Deze malafide software neemt systemen van slachtoffers in gijzeling door hen te versleutelen. De aanval is opgeëist door de hackersgroep REvil, die initieel 70 miljoen dollar losgeld vroegen voor een universele ontsleuteltool. Met deze tool zouden alle slachtoffers van de aanval hun data weer toegankelijk kunnen maken. Of dat ook daadwerkelijk gebeurt indien tot betaling wordt ovegegaan, is niet te zeggen.
'Terroristen'
Voccola wil niet melden of Kaseya met de aanvallers in gesprek is. De topman stelt niet te willen reageren op 'alles wat van doen heeft met onderhandelingen met terroristen op welke manier dan ook'. Voccola meldt ook contact gehad te hebben met het Amerikaanse Witte Huis, de FBI en ministerie van Binnenlandse Veiligheid. De topman belooft dat Kaseya in de toekomst meer details over de aanval vrijgeeft. Het bedrijf wil echter wachten tot dit veilig kan.
Bij de aanval is een kwetsbaarheid misbruikt die Kaseya op het punt stond te verhelpen. Daardoor doen speculaties de ronde dat aanvallers meelazen in interne communicatie van Kaseya en zo op de hoogte waren. Voccola meldt echter dat Kaseya niet denkt dat de aanvallers toegang hadden tot hun netwerk.
Afhandeling van losgeldbetalingen verloopt geautomatiseerd
Kevin Reed, CISO bij Acronis, wijst erop dat de systemen van de aanvallers voor het afhandelen van losgeldbetalingen sterk geautomatiseerd zijn. "Voor zover we kunnen nagaan, zijn de REvil-systemen sterk geautomatiseerd: er komen alleen mensen bij kijken als een slachtoffer over het losgeld wil onderhandelen", zegt Reed. "Ze hoeven dus niet echt op te schalen om af te wachten tot de losgeldbedragen van $ 45.000 worden betaald. Het slachtoffer stuurt de betaling naar een vooraf gedefinieerde bitcoinwallet, de hackers detecteren de betaling en sturen een universele decoderingssleutel naar het slachtoffer. Daar komt geen mens bij te pas."
"Ik denk dat het aanbieden van een universele decoderingssleutel niet meer dan een PR-stunt is. Als ze werkelijk 1 miljoen systemen hebben versleuteld, uitgaande van 1000 systemen per slachtoffer, dan gaat het om zo'n 1000 slachtoffers, wat overeenkomt met enkele eerder gemelde bevindingen. Met een gemiddelde van $ 45.000 per slachtoffer, het standaardbedrag in dit geval, maakt dat een totaal van $ 45 miljoen. Het klopt dat sommige slachtoffers rechtstreeks werden aangevallen en meer losgeld moesten betalen, maar ik betwijfel of het totale bedrag de $ 70 miljoen haalt. Bovendien worden die rechtstreeks aangevallen slachtoffers afgehandeld door mensen, maar de aantallen lijken nu nog niet groot genoeg om een scale-out van REvil te rechtvaardigen."
"Die $ 70 miljoen lijkt niet op een korting voor de massale decodering en is op geen enkele manier goedkoper. Dus ze zijn dom of ze zijn alleen maar aan het uitproberen of het werkt. Soortgelijke stunts werkten wel in het verleden. Misschien verwachten ze zelfs niet dat ze het geld krijgen en gebruiken ze dit alleen om langer in het nieuws te blijven. In een recent interview lieten ze weten dat ze met hun manier van opschalen meer medestanders willen aantrekken die de feitelijke hacks uitvoeren en door zo prominent in het nieuws te verschijnen zal dat zeker kunnen helpen", stelt Reed.
"Ook al halen ze een aanzienlijk bedrag binnen, ik betwijfel het of ze die $ 70 miljoen van de verzekeraars zullen krijgen. Daarvoor is samenwerking en flexibiliteit nodig en dat lijkt me van beide zijden onwaarschijnlijk."