Pas op met "updaten van Kaseya"

Gepubliceerd op 9 juli 2021 om 15:00

Hackers proberen munt te slaan uit de crisis rondom de VSA-software van ICT-dienstverlener Kaseya. Ze hebben een spamcampagne opgezet waarbij ze potentiële slachtoffers proberen over te halen om een beveiligingsupdate te installeren die de kwetsbaarheid in VSA verhelpt. In werkelijkheid halen nietsvermoedende slachtoffers een Cobalt Strike payload binnen die een achterdeur toevoegt aan het bedrijfsnetwerk. Op deze manier proberen ze het netwerk binnen te glippen en malware te installeren.

Wereldwijde cyberaanval

Vorige week vrijdag lanceerde de Russische hackersgroep REvil een wereldwijde supply chain aanval. Ze maakten daarbij misbruik van een kwetsbaarheid in Virtual Systems Administrator (VSA). Dat is software van het Amerikaanse beveiligingsbedrijf Kaseya dat gebruikt wordt om servers en computersystemen van klanten op afstand te beheren. Door deze zero day exploit konden hackers ransomware installeren bij bedrijven die gebruikmaken van deze software, zonder dat ze iets in de gaten hadden.

“Dit is een van de meest grootschalige, niet door een staat uitgevoerde, aanvallen die we ooit hebben gezien. Het lijkt puur de bedoeling [van de hackers, red.] om geld te verdienen”, zo zei Andrew Howard van het Zwitserse Kudelski Security over de aanval. Naar schatting zijn tussen de 800 en 1.500 bedrijven getroffen door de ketenaanval, zo zei Fred Voccola, CEO van Kaseya, eerder deze week. In totaal zijn er in 17 landen slachtoffers gevallen, waaronder in Nederland.

Beveiligingsspecialisten en ethische hackers uit ons land wisten de aanval op een haar na af te slaan. “Als we een beetje meer tijd hadden gehad, was het ons gelukt”, vertelden Wietse Boonstra en Frank Breedijk van het Dutch Institute for Vulnerability Disclosure (DIVD) deze week. De politie roept slachtoffers op om aangifte te doen, als ze dan niet al gedaan hebben. De politie hoopt zo meer te weten te komen over de werkwijze van REvil en de daders op te sporen.

Actualiteit volgen

Hackers en cybercriminelen spelen graag in op de actualiteit om slachtoffers te maken. Dat is nu, bijna een week na de wereldwijde aanval van Russische hackers, niet anders. Het Amerikaanse beveiligingsbedrijf Malwarebytes waarschuwt op Twitter voor een spamcampagne waarbij de opstellers nietsvermoedende slachtoffers proberen te overtuigen om een ‘beveiligingsupdate’ voor de software VSA te installeren.

In de e-mail is een bijlage met de naam ‘SecurityUpdates.exe’ opgenomen, evenals een link naar een security update die zogenaamd afkomstig is van Microsoft. In werkelijkheid halen slachtoffers hiermee een Cobalt Strike payload binnen die een backdoor toevoegt aan het bedrijfsnetwerk. Zo kunnen hackers en cybercriminelen ongemerkt meekijken, data stelen en gijzelsoftware of andere malware installeren.

Cobalt Strike

Cobalt Strike is legitieme software waarmee cyberdreigingssimulaties nagebootst worden. Red Teams -medewerkers die de digitale verdediging van hun werkgever testen- en IT-medewerkers die pentests uitvoeren, gebruiken deze tool om servers en netwerken te testen op zwakheden. Op deze manier proberen ze beveiligingsrisico’s in kaart te brengen en oplossingen daarvoor aan te dragen.

Keerzijde is dat ook hackers Cobalt Strike gebruiken om cyberaanvallen uit te voeren. Met deze software proberen ze op afstand toegang te krijgen tot besmette computersystemen. Het doel is om bedrijfs- of privacygevoelige informatie te stelen of zogeheten second-stage malware payloads af te leveren. Cisco, een van de grootste aanbieders van tools om op een veilige en verantwoorde manier op afstand te kunnen werken, waarschuwde afgelopen jaar dat twee derde van alle ransomware-aanvallen (66 procent) plaatsvindt doordat de aanvallers vertrouwen op Cobalt Strike.

Spamcampagnes

Spamcampagnes om slachtoffers te maken zijn niets nieuws onder de zon. Vorig jaar bereikte Emotet ons land via malafide e-mailberichten. Doordat Emotet het adresboekje van slachtoffers bekeek, was het in staat om zichzelf te verspreiden. Daardoor leek het alsof de mail afkomstig was van een vertrouwd iemand.

In de betreffende e-mail zat een .docx-bestand als bijlage waaraan kwaadaardige macro’s waren toegevoegd. Slachtoffers die dit bestand openden, werden getrakteerd op nog meer malware, zoals een keylogger, spyware of ransomware.

FlutBot

Iets vergelijkbaars overkwam tienduizenden Nederlanders die het slachtoffer waren van FluBot. Zij ontvingen een sms-berichtje waarin stond dat er een pakketje voor hen in aantocht was. Om het pakketje te volgen moesten ze een applicatie downloaden. Dit was echter een kwaadaardige app die financiële en persoonlijke gegevens van gebruikers steelt. Wie FluBot had geïnstalleerd, kreeg het advies om zijn of haar smartphone terug te zetten naar de fabrieksinstellingen.

Bron: twitter.com, bleepingcomputer.com, vpngids.nl

Meer info over hacking

Tips of verdachte activiteiten gezien? Meld het hier.

Hacking gerelateerde berichten

Beveiligingslek Android: negen op de tien toestellen kwetsbaar

Uit onderzoek van Promon en Google blijkt dat alleen apparaten met Android 10 beschermd zijn tegen het StrandHogg 2.0-lek. Versie Android 9.0 (Pie) en ouder zijn wel kwetsbaar. Meer dan negentig procent van de Android-toestellen draait versie 9.0 of ouder, aldus Google. Negen op de tien toestellen is dus kwetsbaar voor dit lek.

Lees meer »

Gehackte Thuisbezorgd-accounts worden verkocht

Een groeiend aantal gebruikers meldt dat via 'Thuisbezorgd' bestellingen op hun naam en rekening worden gedaan zonder dat zij daarvan weten. Volgens Thuisbezorgd is er geen datalek, maar betreft het credential stuffing. Getroffen accounts worden inmiddels ook online verkocht.

Lees meer »

Nintendo Switch-eigenaars worden gehackt

Onverwachts een mail krijgen dat er met je account is ingelogd terwijl je dat zelf niet bent: een steeds grotere groep Nintendo Switch-eigenaars maakt er melding van. Nintendo roept gebruikers op om een extra beveiliging bij inloggen in te schakelen.

Lees meer »