image

Onderzoekers weten niet hoe ransomwaregroep achter Kaseya-lek kwam

vrijdag 9 juli 2021, 12:47 door Redactie, 9 reacties
Laatst bijgewerkt: 09-07-2021, 14:25

De Nederlandse onderzoekers van het Dutch Institute for Vulnerability Disclosure (DIVD) weten niet hoe een kritieke kwetsbaarheid die zij in de software van Kaseya ontdekten, en die vorige week werd misbruikt bij een wereldwijde ransomware-aanval, bekend is geworden bij de criminelen. Dat laat Victor Gevers, voorzitter van het DIVD, tegenover Security.NL weten.

De kwetsbaarheid in Kaseya VSA, aangeduid als CVE-2021-30116, werd in april door onderzoeker Wietse Boonstra ontdekt. Het was één van zeven beveiligingslekken die DIVD-onderzoekers in de VSA-software van Kaseya aantroffen. De ernst van CVE-2021-30116 is op een schaal van 1 tot en met 10 met een 10 beoordeeld.

Het DIVD waarschuwde Kaseya dat vervolgens een update ging ontwikkelen. Nog voordat de update kon worden uitgerold maakte de groep achter de REvil-groep er misbruik van. Via CVE-2021-30116 en nog een andere kwetsbaarheid wisten ze op afstand VSA-servers van managed serviceproviders (MSP's) over te nemen. MSP's gebruiken VSA voor het beheren van de systemen van hun klanten.

De criminelen gebruikten de toegang die VSA standaard biedt om systemen van MSP-klanten met ransomware te infecteren. Al snel na de aanval werd de vraag gesteld hoe het kon dat de REvil-groep ook van het beveiligingslek afwist. Het DIVD weet niet hoe dit is gebeurd. "Daar hebben we geen beeld van", zegt Gevers. "Het DIVD heeft frequent contact gehad met Kaseya over de gevonden kwetsbaarheden en de mogelijke oplossingen."

Op de vraag of het DIVD een eigen onderzoek heeft ingesteld nadat de REvil-groep ook van het beveiligingslek bleek af te weten antwoordt Gevers dat de omgeving en systemen van het instituut zo goed als mogelijk worden bewaakt en gemonitord conform het informatiebeleid dat door de CISO is opgesteld. "Een uitgebreide evaluatie over deze casus gaan wij nog uitvoeren", voegt de DIVD-voorzitter toe.

Gevers liet eerder al op Twitter weten dat de kwetsbaarheid eenvoudig te vinden was. "Maar om het verder succesvol uit te buiten (in de vorm van een ransomware die onder de radar kan blijven) vergt een veel hoger expertiseniveau", merkt hij op. Daarnaast wijst hij ook naar de expertise binnen de REvil-groep, die eerder nog vleesverwerker JBS aanviel en daarmee 11 miljoen dollar verdiende. De groep wist eerder ook toe te slaan bij de Deense schoonmaakgigant ISS en claimde succesvolle aanvallen tegen computerfabrikant Acer en Apple-leverancier Quanta Computer. Dat kan verklaren dat ze achter het bestaan van de kwetsbaarheid zijn gekomen.

"Omdat dat hackers van REvil net zo briljant zijn als niet nog slimmer dan Wietse. We moeten dan ook even realistisch zijn. Wij zijn vrijwilligers die dit er bij doen naast en fulltimebaan. Een soort van op zondagochtend hardloop groepje die aan het trainen is voor de CPC. En dat we vlak voor de finish even flink ingehaald werden door een groep topatleten die hier 24/7 mee bezig is", stelt Gevers. Daarnaast komt het vaker voor dat verschillende onderzoekers dezelfde kwetsbaarheid vinden.

"Inlichtingendienst onwaarschijnlijk"

Eén van de mogelijke scenario's die op internet worden genoemd is dat de REvil-groep, die vanuit Rusland zou opereren, de exploit voor de Kaseya-kwetsbaarheid via een Russische inlichtingendienst heeft gekregen. Een beveiligingsonderzoeker met het alias The Grugq noemt dit zeer onwaarschijnlijk aangezien inlichtingendiensten hier geen manier voor zouden hebben. Het is waarschijnlijker dat de groep de exploit via een exploit-aanbieder heeft verkregen. "Maar gegeven hoe weinig we weten is het allemaal pure speculatie."

Wat betreft de keuze om toe te slaan tijdens het weekend van 4 juli is bekend dat de REvil-groep vaker toeslaat tijdens feestweekenden en is dit weekend mogelijk gekozen vanwege de naderende beveiligingsupdate voor de kwetsbaarheid. Twee grote ransomware-aanvallen, op Colonial Pipeline en vleesverwerker JBS, zorgde ervoor dat de VS nu wil dat Rusland ransomwaregroepen aanpakt.

Volgens The Grugq heeft dit nog geen gevolgen gehad. "Financieel gemotiveerde aanvallers worden gemotiveerd door geld. Ze zullen geld proberen te verdienen. Er is geen reden voor hen om te stoppen omdat iemand aan de andere kant van de wereld boos is." Wel denkt de onderzoeker dat de groep beschermingsgeld betaalt om te blijven opereren.

Een andere observatie die The Grugq doet is dat de REvil-groep mogelijk meer slachtoffers heeft gemaakt dan het aankan. "Met het bestaande proces voor het omgaan met slachtoffers is het onmogelijk voor REvil om op te schalen naar duizend slachtoffers. Hun managementinfrastructuur kan een dergelijk aantal gewoon niet aan. Het is niemand gelukt om duizend slachtoffers in een week te beheren", aldus de onderzoeker.

Reacties (9)
09-07-2021, 14:04 door Anoniem
Kan dan niemand bevroeden dat dergelijke ransomeware criminele hackers ook niet binnen de beveiligingswereld zouden kunnen zijn gepositioneerd/ingedrongen? Het crimineel gilde zit op de een of andere manier overal al binnen en niet slechts thuis te "gamen" en duimen te draaien. Als iets te vreemd is om waar te zijn, moet er een andere verklaring voor kunnen worden gevonden.

Wie kijkt daar op met grijze of zwarte vlekjes op zijn of haar glanzende witte hoed? Wij denken hier nog in oude paradigma van landen en systemen en continenten. Het zit tegenwoordig anders in elkaar binnen global village. De Russian Business Network (RBN) Hacker zit al lang niet meer enkel in Rusland, Wit-Rusland, Oekraine etc. Hij zit ook misschien bij dat louche hostertje bij u in de Langstraat. Hij loopt wellicht op dit moment door het havenkwartier van Amsterdam of Rotterdam of scoort een Vlaams frietje in Den Haag. Wie weet er nog niet dat handige Russische jongetjes door begeleidende babuschki vanuit Moedertje Rusland naar Chicago werden geholpen om met de zegen van chabad aan glanzende carrieres te beginnen in Silicon Valley & Forest. Denk aan de broertjes Brin. Het land van de ongekende mogelijkheden heet nu global village tot aan de grenzen van het Internet.

"Nie tylko wirusy" van Andrej Dudek, lees eens na over hacken, cracking en Internet beveiliging. (Informatica).
Onze toekomst ligt al in het verleden verankerd. Dat is een feit.

vliegende muis
09-07-2021, 14:05 door Anoniem
Corruptie?
09-07-2021, 16:10 door Anoniem
Ik zou denken dat een van de 'ethische' hackers op de lijst van de NSA of FancyBear staat.
Of dat de NSA hun gegevens onder de tap heeft, zoals ze de halve wereld afluisteren via hun tapsystemen.
09-07-2021, 16:13 door Anoniem
@ anoniem 14:04: hetzelfde dacht ik toen ik contact had met support van protonmail. ik kreeg een keer een reactie van een Ivana en van een Igor. Toe dacht ik: het zal toch niet . .
09-07-2021, 16:18 door Anoniem
DIVD gehackt?
09-07-2021, 19:13 door Anoniem
Meneer Gevers c.s. denkt toch niet echt dat zij de enige slimmeriken op de wereld zijn he? Er is altijd wel iemand slimmer dan jij bent….
09-07-2021, 22:32 door walmare - Bijgewerkt: 09-07-2021, 22:37
Door Anoniem: DIVD gehackt?
Ze gebruiken een windows laptop, dan zijn ze zelf gehackt.
10-07-2021, 03:48 door Anoniem
Tja het kan puur toeval zijn. Net zoals je bij Bugcrowd tegen een duplicate report aanloopt omdat iemand anders het net sneller had gemeld.

Security researchers zijn een doelwit voor gerichte aanvallen dus hun omgeving kan gehackt zijn of een prive device.

Wellicht hadden de aanvallers de mogelijkheid om mail aan 1 van beide kanten te lezen.

Doorverkopen door een onderzoeker is risicovol maar kan uiteraard.Ik ben benieuwd of ze ooit de oorzaak weten te achterhalen.
10-07-2021, 18:32 door Anoniem
Door Anoniem: Meneer Gevers c.s. denkt toch niet echt dat zij de enige slimmeriken op de wereld zijn he? Er is altijd wel iemand slimmer dan jij bent….

Je hebt last van ADHD , dat meer lezen dan de kopregel te veel voor je is en je meteen je domme commentaar MOET posten ?

Want in de 7e alinea van de topic start is dat precies wat Gevers zegt :


"Omdat dat hackers van REvil net zo briljant zijn als niet nog slimmer dan Wietse. We moeten dan ook even realistisch zijn. Wij zijn vrijwilligers die dit er bij doen naast en fulltimebaan. Een soort van op zondagochtend hardloop groepje die aan het trainen is voor de CPC. En dat we vlak voor de finish even flink ingehaald werden door een groep topatleten die hier 24/7 mee bezig is", stelt Gevers. Daarnaast komt het vaker voor dat verschillende onderzoekers dezelfde kwetsbaarheid vinden.

Dus inderdaad, hij _is_ realistisch. En hij denk NIET dat hij & collega's de enige slimmeriken op de wereld zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.