Vi känner att det är läge för lite information och tankar relaterat till den omfattande cyberattacken mot Kaseyas produkt Kaseya VSA.
Vad har hänt?
Den korta versionen utan tekniskt händelseförlopp.
Fredagen den 2 juli kring kl 18 startade den ryska hotaktören REvil en omfattande cyberattack av typen ransomware mot Kaseaya VSA-servrar över hela världen.
Kaseya VSA är en produkt som används främst av sk. MSP’s (Managed Service Provider) alltså IT-företag som hanterar sina kunders enheter, primärt servrar och datorer. Hantering såsom automation, övervakning och support.
Alla datorer och servrar kommunicerar online mot ”sin” Kaseya VSA server över internet och tar emot kommandon m.m från servern, de kan exempelvis vara automatiserade eller initierade av tekniker som styr och hanterar dessa datorer och servrar.
Som MSP kan man köra sin egen Kaseya VSA server i sitt datacenter eller så kan man köpa den som tjänst av Kaseya i form av en sk. SaaS tjänst.
Hotaktören har genom en sårbarhet i Kaseya VSA-mjukvaran skickat ut sin ransomware attack till Kaseyaservrar över hela världen. Dessa Kaseya servrar har tagit emot ransomware koden och distribuerat ut den till alla sina datorer och servrar som varit anslutna vid tillfället. Dessa enheter har då direkt startat kryptering av enhetens filsystem samt eventuella andra enheter anslutna på den aktuella enheten.
Detta innebär en oerhört kraftfull spridning både i omfattning av antal enheter och tidsaspekten.
Som ett exempel i det största svenska fallet, Coop, så använde deras kassaleverantör Kaseya VSA och hade agenten på varje butiksdator vilket innebar att dessa datorer krypterades. För att återställa dessa krävdes tekniker på plats som installerar om operativsystemet (Windows) och dess konfiguration.
Det är i nuläget oklart vem som har hittat sårbarheten i Kaseya VSA men det finns uppgifter om att Kaseya kände till en rad sårbarheter som rapporterats av DIVD (Dutch Institute for Vulnerability Disclosure) och att man höll på med att täta dessa. Sårbarheten gäller flera tekniker, bland annat att gå runt autentiseringsmekanismen som hanterar inloggningen vilket innebar att man inte behövde känna till användarnamn och lösenord eller eventuellt tvåfaktor lager. Oavsett vilket så hann REvil före. Det är en utmaning för mjukvaruföretag idag att hinna täta sina produkter i tid när en sårbarhet blir känd.
Kaseya själva rapporterar att dem inklusive partners, kunder och community upptäckte att något inte stod rätt till vid 18 tiden men visste inte vad det handlade om. Inom 1h stängde dem ner sin SaaS plattform och började kommunicera med sina kunder och partners om att stänga ner deras Kaseya VSA-servrar tills man vet mer. Då var attacken redan i full gång eftersom många servrar och datorer hämtat och startat ramsomware programmet som påbörjat krypteringen. Att stänga av Kaseya-servern stoppar inte krypteringen utan endast för datorer och servrar som inte tagit emot kommandot. Faktumet att det var fredag kl 18 och framför allt långhelg i USA gjorde att det tog olika lång tid för företag att stänga ner sin server och meddela sina kunder. För många blev det känt under lördagen.
Enligt Kaseya så har inte deras SaaS kunder drabbats utan endast dem som kör egen Kaseya VSA server och ett fåtal av dem. Uppgifter från 6 juli har Kaseya uppskattat till ca 50 direkta kunder och mellan 800 och 1500 indirekta företag (dem som drabbades). Sedan räknas Coop som en av dem och dem har hundratals butiker.
Om det stämmer kan orsaken exempelvis vara att hotaktören inte attackerat alla servrar eller inte identifierat alla, Eller så hann många stänga ner i tid. Finns fler tänkbara anledningar. Enligt Palo Alto Networks sjönk antalet synliga sårbara Kaseya servrar med 96% från ca 1500 st den 2 juli till 60 st den 8 juli.
Det finns i nuläget inga tecken på att attacken har gjort något mer än att starta ransomware attacken i syfte att kryptera och begära pengar för att låsa upp. Med andra ord inga tecken på att bakdörrar eller motsvarande lämnats kvar. Det har heller inte skett s.k. lateral förflyttning, där man sprider sig vidare till andra enheter i nätverket. Det var verkligen anpassat till Kaseya agenten och dess enhet. Men ingenting är skrivet i sten i detta läge.
Enligt uppgifter den 5 juli så är inte REvils betalsystem (Tor) tillgängligt. Vilket innebär att offer inte kan betala. Oklart om beror på tekniskt strul.
Länk till Kaseyas officiella sida: https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689-Important-Notice-July-2nd-2021
Hur har FRONT’s kunder påverkats?
Vi använder inte Kaseya VSA så våra kunder har inte påverkats undantaget en kund som vi har gemensam med annan leverantör som använder Kaseya VSA. I detta specifika fall körde leverantören Kaseya agent på en server hos kunden. Tack vare teknik som finns i några av våra tjänster lyckades denna attack avvärjas automatiskt så vår kund klarade sig. Läs mer om det längre ned.
På vilket sätt har FRONT påverkats?
Även om vi klarade oss väl denna gång tack vare att vi inte använder Kaseya VSA så har vi påverkats på flera sätt. Vi har kollegor i vårt närområde vars kunder har påverkats i stor omfattning. Vi har stöttat och stöttar dem och deras kunder i form kompetens och arbetskraft.
När attack av denna typ sker, och dessutom så nära inpå kan man inte undgå att se om sitt hus ytterligare. Vi har sedan lång tid fokus på IT- och cybersäkerhet och en pågående agenda. Många av dessa aktiviteter såsom härdningar och extra kontroll av tillåtna trafikflöden har vi utfört de senaste dagarna. Även andra genomgångar av riskfaktorer relaterat till denna attack har utförts.
Mer om hur vi jobbar med cybersäkerhet i kommande inlägg.
Kan FRONT’s kunder råka ut för motsvarande attack?
Tyvärr kan alla drabbas i någon omfattning. Vi har stort fokus IT- och cybersäkerhet vilket innebär att vi gör rigorös genomgång innan vi väljer plattform och försöker alltid designa lösningar utifrån ett risk- och säkerhetstänk.
I detta specifika fall med Kaseya handlade det om en produkt du installerar i din egen miljö vilket möjliggör för en hotaktör att installera den i sin miljö och på så sätt i lugn och ro analysera produkten efter brister vilket är betydligt svårare mot en molntjänst. Men återigen molntjänster attackeras och har brister men alla molntjänster kan inte jämföras med varandra. Det skiljer oerhört när det kommer till robusthet och hur det designats.
Vårt fall gällande incident och respons
I flera av våra MIRU-abonnemang ingår ett Ransomware Detect and Response-skydd vilket innebär att det kan upptäcka det krypteringsbeteende som sker vid en ransomwareattack och då automatiskt försöka stoppa processen som utför krypteringen. Även nätverksisolering av enheten sker per automatik för att förhindra spridning till andra enheter över nätverket. När en enhet befinner sig i ”isoleringläge” kan endast tekniker hos FRONT ansluta till enheten för att undersöka attacken.
Denna skyddsmekanism triggade automatiskt 2021-07-02 18:30 på en kritisk server hos kunden som nämndes ovan.
Vi hade kännedom om att Kaseya agent var installerad eftersom vi övervakar kända fjärrstyrningsprogram.
Händelseförloppet från FRONT Incident & Respons
18:30:56 CEST – Krypteringsprocess startades av processen MsMpEng.exe.
18:31:04 CEST – Processen MsMpEng.exe terminerades och således hela krypteringsprocessen.
Total tid: 8 sekunder.
Under denna tid hann 37 filer krypteras.
2021-07-02 18:31:13 CEST – Ett P1 larm i vår SOC kö skapades.
Kortfattat så utförde attackkoden: Nedstängning av Windows inbyggda skydd Windows Defender, en gammal version av MsMpEng.exe som är en del av Windows Defender kopierades in till enheten och användes i krypteringsprocessen.
2021-07-03 – Konsult installerar om operativsystem på servern och utför konfiguration.
Vi har sökt efter s.k. IOC (Indicator Of Compromise) på enheter inom samma nät som den attackerade servern för att säkerställa system.
En IOC kan exempelvis vara en IP adress, filhash eller värde i Windowsregistret. Syftet är att leta efter kända tecken efter intrång baserat på publicerad information som framkommit av forensik utfört oss, community, organisationer eller myndigheter. Det är många som delar med sig av denna information vilket underlättar i kampen mot cyberkriminella och säkerställa sina nät och system.
En IOC i denna attack var att en registernyckel [HKLM:\SOFTWARE\Wow6432Node\BlackLivesMatter] skapades innehållande information relaterat till ransomware. Således ett politiskt budskap involverat.
Övrigt vi har gjort (ett urval)
Följt utvecklingen noga genom publikationer från organisationer och myndigheter som varit inblandade i incidentutredningar.
Gjort sökningar efter mjukvara = *Kaseya* i vårt system för att säkerställa att inga Kaseya agenter existerar hos någon av våra MIRU kunder.
Sökt i vårt datacenters corenäts loggar efter känd IP adress som hotaktören använt i syfte att detektera aktivitet.
Insikter
Man måste lära sig av varandra och tillsammans hjälpas åt i kampen mot cyberkriminella. Att återhämta sig på egen hand genom återställning från säkerhetskopior och motsvarande och på så sätt inte betala kommer troligen minska cyberbrottsligheten på sikt.
Det är viktigt att löpande jobba med IT-säkerhet eftersom hotlandskapet, teknik och taktik ändras i hög takt vilket innebär att beslut och lösningar måste revideras. Går inte att lita på leverantör fullt ut. Företag måste stämma av sin setup och vilka eventuella risker de har så att ledning har insyn och kan besluta om åtgärder. Ett exempel är att gå igenom hur motståndskraftig säkerhetskopieringen är. Inom detta område finns det många faktorer att hålla koll på vilket kräver expertkompetens.
Även hantering och rutiner under en pågående incident är viktig övning för ledning. Vad gör vi när all IT ligger nere?
Nyligen har noterats s.k. phishingkampanjer om Kaseya security update i syfte som alltid att lura oss användare att klicka på länkar med skadlig kod.
https://www.bleepingcomputer.com/news/security/fake-kaseya-vsa-security-update-backdoors-networks-with-cobalt-strike/