En ransomwareattack slog hårt mot Coop sommaren 2021 och de flesta av deras butiker har fått hålla stängt under flera dagar när deras kassasystem infekterats av ransomware. Här får du en inblick i vad som har hände, omfattningen och rekommendationer för att minska risken att drabbas av ransomware. En kronologisk översikt hittar du längre ner i artikeln.
Vad har hänt?
I Sverige var det framförallt Coop men även Apoteket Hjärtat, ST1 och Plantagen som hör till de som drabbades av denna ransomware-attack. Den gemensamma nämnaren var att de använde sig av Visma Esscom på sina kassasystem och de i sin tur använder Kaseya VSA som är en on-premises lösning som Managed Service Providers (MSP) kan använda för att övervaka kunders datorer eller system. Allt talar för att det är hackergruppen REvil som ligger bakom attacken som utnyttjar en zero-day sårbarhet i Kaseya VSA.
Det är en form av supply-chain attack där de cyberkriminella attackerar MSP:er för att sedan kunna få tillgång till deras kunders nätverk och system.
Truesec anordnade en YouTube session den 5 juli 2021 där de diskuterade hur attacken gick till och vad som var känt vid den tidpunkten.
Hur många organisationer har drabbats?
Enligt Kaseya har 60 av deras kunder drabbats av ransomware-attacken (6 juli) och eftersom kunderna är IT-företag som levererar tjänster till sina kunder (MSP:er) handlar det om uppskattningsvis 1500 organisationer som har drabbats vid denna tidpunkt.
Ross McKerchar, Sophos VP, uttalar sig:
"This is one of the farthest-reaching criminal ransomware attacks that Sophos has ever seen. At this time, our evidence shows that more than 70 managed service providers were impacted, resulting in more than 350 further impacted organizations. We expect the full scope of victim organizations to be higher than what's being reported by any individual security company."
Det återstår att se hur denna attack utvecklar sig för att kunna bedöma dess totala spridning. Det innebär stora förluster av intäkter när verksamheter står stilla. Om vi tittar på fallet med Coop så säger deras VD att de förlorar uppskattningsvis 90 miljoner per dag i omsättning. Sedan tillkommer kostnader med att komma åter i drift. Generellt har kostnaderna för ransomware fördubblats senaste året enligt Sophos State of Ransomware Report 2021.
Hackergruppen REvil begär 70 miljoner USD i lösensumma för hela attacken men att betala är ingen bra idé då det göder de cyberkriminella så de kan fortsätta med det de håller på med. Dessutom pekar undersökningar på att endast 8 procent av de som betalar lösensumman får tillbaka all sin data.
[demo] Så infekteras en dator av REvil ransomware
Här kan du se vad som händer på en dator som infekteras av REvil ransomware.
Tekniska analyser av REVil ransomware attacken
Flera säkerhetsföretag analyserar attacken och ger sin syn på den. Här kan du ta del av några analyser som ger en bra bild av hur det gått till ur ett tekniskt perspektiv.
- Sophos Labs: REvil uses supply chain exploit to attack hundreds of businesses
- Trustwave SpiderLabs: Diving Deeper Into the Kaseya VSA Attack: REvil Returns and Other Hackers Are Riding Their Coattails
Vad som sticker ut i SpiderLabs analys är att de har kommit fram till att datorer som kör ryska och en rad andra språk som standard undviks i denna attack vilket inte är ovanligt när ryska hackers är involverade.
Rekommendationer för de som drabbats
CISA och FBI har tagit fram rekommendationer för MSP:er och deras kunder som har drabbats av Kaseya ransomware attacken. Så här lyder rekommendationerna för de som drabbats:
- Ladda ner Kaseya VSA Detection Tool. Detta verktyg analyserar system (antingen VSA-server eller hanterad slutpunkt) och avgör om det finns några indikatorer på kompromiss (IoC).
- Aktivera och tillämpa multifaktorautentisering (MFA) på varje enskilt konto som är under organisationens kontroll och - i största möjliga utsträckning - aktivera och genomdriv MFA för kundinriktade tjänster.
- Implementera en lista på tillåtna IP-adresser för att begränsa kommunikation med remote monitoring and management (RMM) till kända IP-adresser.
- Placera administrativa gränssnitt för RMM bakom ett virtuellt privat nätverk (VPN) eller en brandvägg i ett dedikerat administrativt nätverk.
Kronologisk översikt av ransomwareattacken
- Sårbarhet identifieras: Före attacken identifierade Kaseya en sårbarhet i sin VSA-programvara. Denna programvara används av MSPs (Managed Service Providers) för att övervaka och hantera kundnätverk.
- Utnyttjande av Sårbarheten: I början av juli 2021 utnyttjade en cyberbrottsgrupp känd som REvil denna sårbarhet. De lyckades distribuera ransomware genom Kaseyas VSA-serverar som var exponerade mot internet.
- Spridning via MSP:er: Eftersom Kaseyas VSA-programvara användes av MSP:er ledde detta till en kedjereaktion där ransomware snabbt spreds till deras kunder.
- Skadeomfattning: Tusentals företag världen över drabbades. Skadlig kod krypterade filer och system vilket orsakade omfattande störningar i företagens verksamheter. REvil krävde lösen för att dekryptera filerna.
- Respons: Kaseya stängde snabbt ner sina VSA-servrar för att förhindra vidare spridning och började arbeta på en säkerhetsuppdatering.
- Kommunikation med kunderna: Kaseya informerade aktivt sina kunder och MSP:er om situationen och gav rekommendationer för att hantera den.
- Samarbete med myndigheter: Kaseya samarbetade med FBI och CISA (Cybersecurity and Infrastructure Security Agency) för att hantera situationen och bistå de drabbade.
- Återställning och återuppbyggnad: Många företag tvingades till omfattande åtgärder för att återställa sina system, inklusive återställning från säkerhetskopior och total återuppbyggnad av nätverk.
- Ökad insikt av behovet av cybersäkerhet: Denna händelse ledde till en ökad medvetenhet om vikten av cybersäkerhet.
- Rättsliga och regulatoriska följdverkningar: Incidenten bidrog till diskussioner om stärkta regulatoriska krav för cybersäkerhet, särskilt för leverantörer av kritiska IT-tjänster.
Så skyddar sig organisationer mot ransomware
Här är några konkreta råd om hur organisationer kan minska risken att drabbas av ransomware samt snabbt komma tillbaka om de drabbas.
- Inställningar och behörigheter
Se över era systeminställningar och regelverk. Se över behörigheter och tillgång. Se till att användare körs med minsta möjliga behörighet för att kunna utföra sitt arbete. Desto färre administratörskonton som finns i verksamheten, desto mer begränsade möjligheter finns det för en skadlig kod att flytta sig lateralt, dvs sprida sig. Då kan privileged access management något att titta närmare på. Har ni möjlighet att använda vitlistning är det mycket effektivt för att hindra okänd kod från att exekvera på era endpoints. - Minska attackytan
Ha system för att filtrera skadlig e-post från systemet innan de levereras till användarna. Systemet bör som minst ha möjlighet att i realtid kunna skanna mål för länkar innan de visas för användare, djupskanna bilder, inbäddad kod i bilagor etc. Om ni använder Microsoft 365, se över vilken version ni har och vad som är inkluderat och uppgradera vid behov alternativt komplettera med en separat lösning. - Patcha system regelbundet
Vi rekommenderar att ha ett system som möjliggör patchning av alla verksamhetens enheter och applikationer, även de från tredje part. Bäst är att ha ett sätt att få överblick över alla sårbarheter som finns i IT-miljön och ha en process för att se till att dessa åtgärdas genom patchar eller andra rekommenderade åtgärder. - Gör täta och konsekventa backuper
Föra att kunna återställa system som drabbats av ransomware behöver det finnas backuper och rutiner får återställning av dessa. En del ransomware inleder sin attack med att leta efter backupen och radera denna. Därför är rekommendationen att även ha en backup som är offline. - Inför multifaktorautentisering
För att stoppa att ransomware sprider sig bör multifaktorautentisering införas på alla konton i organisationen. - Klientskydd med teknik för att skydda mot ransomware
Se till att att ha ett modernt klientskydd som kan identifiera ransomware och agera innan det sprids i organisationen. Vi på Inuit rekommenderar WithSecure Elements EDR och även den nya Security Edition av EndpointCentral som har en modern antivirus-modul i betaversion.
Önskar du veta mer om hur du kan skydda er verksamhet mot ransomware är du välkommen att ta kontakt med oss.