eSentiren analyysin mukaan uusin hyökkäys on samankaltainen kuin Kaseyalle vuonna 2018 tehty hyökkäys.
Kaseya julkaisi vuotuisen IT-toimintaraporttinsa vain kolme päivää ennen kuin se joutui kiristysohjelmahyökkäyksen kohteeksi. Raportin ensimmäinen havainto oli uskomattoman ja valitettavan tarkka: IT-turvallisuuden parantaminen on edelleen tärkein prioriteetti verkkohyökkäysten lisääntyessä.
Sophosin analyysin mukaan hyökkäyksen takana olevat pahat toimijat ”eivät ainoastaan löytäneet uutta haavoittuvuutta Kaseyan toimitusketjusta, vaan käyttivät haittaohjelmasuojausohjelmaa REvil-lunnasohjelmakoodin toimitusvälineenä”.
Eldon Sprickerhoff, eSentire-verkkoyrityksen innovaatiojohtaja ja perustaja, sanoi, että Kaseyaa vastaan tehtiin samanlainen hyökkäys vuonna 2018 ja että tämä nykyinen hyökkäys voi olla muunnelma samasta taktiikasta.
”Arvelen, että vuoden 2018 kyberhyökkäyksessä uhkatoimija keksi nollapäivän Kaseyassa, meni Shodanin kaltaiseen työkaluun ja etsi kaikki ulkoapäin olevat Kaseya-instanssit, rakensi nipun Moneron louhintaa varten ja alkoi sitten massoittain päästä käsiksi näihin Kaseya-instansseihin ja ottaa käyttöön louhintalaitteitaan”, hän sanoi.
Wilson Centerin tiede- ja teknologiainnovaatio-ohjelman johtaja Meg King sanoi, että hyökkäys on rohkea askel rikollisille toimijoille.
”Monimutkaiset ja kalliit hyökkäysmenetelmät eivät ole enää vain kansallisvaltioiden kohteena”, hän sanoi. ”Se, että sisäänpääsy oli nollapäivähyökkäys, osoittaa, että rikollisten hakkeriryhmien asiantuntemus kasvaa.”
KATSO: Colonial Pipeline -hyökkäys kiristää lunnasohjelmapeliä (TechRepublic).
Sprickerhoffin mukaan Kaseyan kaltaisen etähallintaratkaisun hallintatason tunnusten saaminen ja hallinnoitujen palveluntarjoajien kohteeksi on erittäin tehokas tapa ottaa lunnasohjelmia käyttöön laajamittaisesti.
”Käytännössä MSP-palveluntarjoajat tekevät kaiken vaikean työn uhkaajien puolesta, koska he tietämättään levittävät haittaohjelmat kaikille asiakkailleen”, hän sanoi.
Ransomware-as-a-service skaalautuu hyvin.
SolarWinds-hyökkäys osoitti, että kolmannen osapuolen ohjelmistojen käyttäminen yhtenä lunnasohjelmat palveluna -hankkeen osatekijänä on hyödyllistä. Tämä pahantekijöiden liiketoimintamallin taktiikka sai kolauksen Colonial Pipeline -hyökkäyksen seurauksena, mutta mallissa on edelleen käyttökelpoisia komponentteja. Kun työ annetaan asiantuntijoiden tehtäväksi – insinöörien tehtävänä on kirjoittaa salausohjelmisto, verkkoihin tunkeutumisen asiantuntijoiden tehtävänä on löytää ja vaarantaa kohteet ja ammattitaitoisten neuvottelijoiden tehtävänä on varmistaa maksimikorvaus – on helpompi skaalata mallia ja iskeä useampaan kohteeseen kerralla. Kolmannen osapuolen ohjelmistojen käyttäminen hyötykuorman toimittamiseen sopii tähän suunnitelmaan.
Purandar Das, tietoturvaevankelista ja tietoturvaohjelmistoyritys Soteron toinen perustaja, sanoi, että kolmannen osapuolen ohjelmistojen käyttämisellä hyökkäysvälineenä on useita etuja.
”Tällaiset hyökkäykset ovat yleistymässä, koska niiden avulla hyökkääjät pääsevät helposti käsiksi suojattuun verkkoon ja koska ne mahdollistavat laajamittaisen hyökkäyksen”, Das sanoi.
Dasin mukaan useimmat organisaatiot luottavat myös siihen, että ohjelmistotoimittaja varmistaa, että ohjelmisto on turvallinen, ja kolmannen osapuolen ohjelmistotuotteiden turvallisuutta tarkastellaan yleensä vähemmän, kun alusta on otettu käyttöön.
”Tuotteiden asiakkaiden on vaikea pystyä tunnistamaan kolmannen osapuolen ohjelmistotuotteessa olevia haavoittuvuuksia, koska tuotteesta ja sen arkkitehtuurista ei ole tietoa”, hän sanoi.
Ian McShane, Arctic Wolfin pääevankelista ja Kaseyan lunnasohjelmahyökkäyksen kenttätoimittaja, sanoi, että tämä viimeisin tapaus todistaa jälleen kerran, ettei kyberturvallisuuden varmistamiseen ole olemassa hopealuotia.
”Organisaatio olisi voinut tehdä kaiken oikein – ajantasaiset korjaukset, MFA, ennakoiva metsästys jne. – ja koska Kaseya-työkalulla on läpitunkeva hallinnollinen ulottuvuus, se olisi silti voinut joutua tämän lunnasohjelmahyökkäyksen kohteeksi”, hän sanoi.
McShane sanoi myös, että näiden hyökkäysten riskien ja vaikutusten vähentäminen edellyttää nopeaa reagointia, nopeaa siirtymistä tutkimuksesta torjuntaan ja kattavan kartan ylläpitämistä ympäristöstä ja sen sisällä toimivista laitteista.
Kaiken kokoiset yritykset ovat vaarassa
Cobaltin strategiajohtaja Caroline Wong sanoi, että tämä viimeisin hyökkäys osoittaa, että kaikki ovat nykyään alttiita kiristysohjelmahyökkäyksille.
”Meillä on tietoja, jotka paljastavat, että vaikka 78 prosenttia IT-johtajista pitää tietoturvatiimiensä tärkeimpänä tehtävänä Pentesting-toimintaa, vastaajat tekevät Pentesting-toimintaa keskimäärin vain 63 prosentille koko sovellusportfoliostaan”, hän sanoi. ”Tämä on valtava ongelma – ja se jättää organisaatiot alttiiksi Kaseya-tason tuhoisille hyökkäyksille.”
Secureworksin uhkatiedustelupäällikkö Barry Hensley sanoi, että hänen yrityksensä ei ole nähnyt todisteita siitä, että uhkaajat olisivat yrittäneet siirtyä sivusuunnassa tai levittää lunnasohjelmaa vaarantuneiden verkkojen kautta.
”Tämä tarkoittaa sitä, että organisaatiot, joilla on laaja Kaseya VSA -käyttöönotto, ovat todennäköisesti huomattavasti alttiimpia kuin ne, joilla se on käytössä vain yhdellä tai kahdella palvelimella”, hän sanoi.
GlobalDatan temaattisen tutkimuksen pääanalyytikko David Bicknell odottaa, että pienet ja keskisuuret yritykset kärsivät eniten.
”Ne luottavat hallinnoitujen palveluiden tarjoajiensa tukeen, ja nyt ne joutuvat kohtaamaan mahdollisesti tuhoisia kiristysohjelmahyökkäyksiä, jotka toteutetaan juuri näiden hallinnoitujen palveluiden tarjoajien käyttämien IT-hallintaohjelmistojen kautta”, hän sanoi.
Bicknell sanoi, että kyberturvallisuusteollisuuden, Yhdysvaltain kyberturvallisuus- ja infrastruktuuriturvallisuusviraston ja Bidenin hallinnon pitäisi tarjota pienemmille yrityksille enemmän kyberkestävyyttä.
”Jos ne eivät tee niin, vuonna 2021 nähdään yksi onnistunut toimitusketjun kyberhyökkäys toisensa jälkeen”, hän sanoi.
Cybersecurity Insider Newsletter
Vahvista organisaatiosi tietoturvapuolustusta pysymällä ajan tasalla uusimmista kyberturvallisuusuutisista, -ratkaisuista ja parhaista käytännöistä. Toimitetaan tiistaisin ja torstaisin. Tiistaisin ja torstaisin