Ransomwareangrebet på Kaseya trin for trin

REvil’s ransomwareangreb på softwareudbyderen Kaseya understregede de trusler som ransomwaregrupper udgør.

En opdateret tidslinje for angrebet.

Angrebet på den amerikanske softwareudbyder Kaseya af den berygtede Ruslands-forbundnende ransomwaregruppe REvil i juli 2021 anslås at have påvirket op til 2.000 organisationer. Rundt om i verdenen. REvil målrettede en sårbarhed (CVE-2021-30116) i et Kaseya remote-computer-management værktøj til at lancere angrebet, med afsløringer i ugevis som flere og flere oplysninger om hændelsen kom frem i lyset.

Det hele tjente som en påmindelse om de trusler, som softwareleverandører særligt er udsat for af sofistikerede ransomwaregrupper. Følgende er en tidslinje over angrebet og konsekvenserne for de berørte parter baseret på Kaseya’s egne opdateringer om hændelsen.

Fredag den 2. juli: Kaseyas hændelsesresponsteam registrerer en potentiel sikkerhedshændelse, der involverer dets værktøj til administration af fjerncomputeren Kaseya VSA.

Med en undersøgelse i gang rådede virksomheden alle kunder i det lokale miljø til at lukke deres VSA-servere indtil videre, samtidig med at Kaseya lukkede sine SaaS-servere som en sikkerhedsforanstaltning. Kaseya’s interne team arbejdede sammen med sikkerhedseksperter for at fastslå årsagen til problemet, alarmering håndhævelse og regeringen cybersikkerhed agenturer, herunder FBI og CISA. Kaseya sagde tidlige indikatorer foreslog, at kun et lille antal Kaseya kunder, ca. 40,  blev påvirket og at de havde identificeret kilden til sårbarheden.

Lørdag den 3. juli: Kaseya bekræfter at være offer for et cyberangreb

Kaseya fortsatte med på det kraftigste at anbefale sine kunder i det lokale miljø at holde VSA-servere offline, indtil det udgav en patch. Kaseya rådede også alle kunder, der oplevede ransomware og havde modtaget kommunikation fra hackerne om at undgå at klikke på nogen links. Virksomheden meddelte, at det gjorde et kompromisdetekteringsværktøj tilgængeligt for VSA-kunder for at hjælpe dem med at vurdere status for deres systemer. Kaseya fortsatte med at kontakte påvirket brugere og erklærede, at CEO Fred Voccola ville blive interviewet om hændelsen på Good Morning America den følgende dag.

Søndag den 4. juli: Kaseya annoncerer forsinkelse i at bringe datacentre tilbage online

Kaseya’s eksekutivkomité mødtes og besluttede, at for bedst at minimere kunderisikoen var der brug for mere tid, før datacentrene blev online igen. I et interview på Good Morning America, sagde Voccola: “Vi er overbeviste om, at vi ved, hvordan det skete, og vi er at afhjælpe det.” Kompromisdetekteringsværktøjet blev gjort offentligt tilgængeligt via download, mens FBI og CISA udsendte deres egen fælles vejledning til MSP’er og kunder, der var påvirket af angrebet, og opfordrede dem til at træffe foranstaltninger såsom at sikre, at sikkerhedskopier var opdaterede og opbevaret på et let tilgængeligt sted, ogq vende tilbage til en manuel patch management proces og gennemføre multi-faktor autentificering. REvil operatører pralede på gruppens “Happy Blog”, at mere end en million individuelle enheder blev inficeret, og at de ville give en universel dekrypteringsnøgle til Kaseya for $ 70 millioner i Bitcoin.

Mandag den 5. juli: Kaseya hævder, at færre end 60 kunder er blevet kompromitteret, og at ”plasteret” testes

Kaseya lovede, at plasteret til brugere i det lokale miljø blev testet og ville blive stillet til rådighed inden for 24 timer. Selskabet anslog, at det ville være i stand til at bringe sin SaaS severs tilbage online mellem kl. 4 og 7 om morgenen den 6. juli.

Tirsdag den 6. juli: Kaseya tilføjer sikkerhedslag til SaaS-infrastruktur

Kaseya begyndte at konfigurere et ekstra lag af sikkerhed til sin SaaS-infrastruktur for at ændre den underliggende IP-adresse på sine VSA-servere, så de gradvist kunne komme tilbage online. Men ved udrulningen blev der opdaget et problem, der forsinkede udgivelsen. Operationsteams Kaseya arbejdede hele natten for at løse problemet med opdateringen, der ville forfalde den følgende morgen. En opdatering på den lokale patch erklærede, at 24 timer eller mindre var den anslåede tidshorisont. Storbritanniens National Cyber Security Centre sagde, at virkningen af angrebet på britiske organisationer syntes at være “begrænset”, selv om det rådede kunderne til at følge Kaseya’s vejledning som en sikkerhedsforanstaltning.

Onsdag den 7. juli: Kaseya undskylder for SaaS forsinkelser

Kaseya offentliggjorde en guide til kunder i det lokale miljø for at forberede patch lanceringen og erklærede, at en ny opdatering skulle sendes til brugerne i den aktuelle situation. Virksomheden undskyldte for forsinkelserne med SaaS og lokal installation af rettelse.

Torsdag den 8. juli: USA’s regering siger til Rusland, at det vil blive holdt ansvarligt. Kaseya trækker frigivelse af patch tilbage

Det Hvide Hus pressesekretær Jen Psaki sagde, at et “højt niveau” af USA’s nationale sikkerhed havde kontaktet russiske top-embedsmænd omkring Kaseya angrebet for at gøre det klart for dem at holde Rusland ansvarlig for de kriminelle handlinger, der finder sted inden for Ruslands grænser. Hun sagde også, at et anden ransomware-fokuseret møde mellem de to lande var planlagt til den følgende uge.

I mellemtiden giver Kaseya et nyt skøn søndag den 11. juli for lanceringen af den lokale patch, mens det var begyndt på opdatering til sin SaaS infrastruktur. Kaseya udgiver to opdateringsvideoer, en fra Voccola og en anden fra CTO Dan Timpson. Virksomheden advarede også om spammere, der vil udnytte hændelsen ved at sende phishing e-mails med falske meddelelser, der indeholder ondsindede links og vedhæftede filer. Kaseya erklærede, at det ikke ville sende nogen e-mail-opdateringer, der indeholder links eller vedhæftede filer.

Fredag den 9. juli: Kaseya opdaterer VSA rådgivning

Kaseya opdaterede sin VSA On-Premise Hardening and Practice Guide, mens executive vice president Mike Sanders talte om teamets fortsatte arbejde med at få kunderne op at køre igen. Han skabte også opmærksomhed om igangværende, mistænkelig kommunikation, der ikke kommer fra Kaseya.

Lørdag den 10. juli: Rapport siger Kaseya blev advaret om hul i sikkerheden

Kaseya sagde, at det var på vej til at frigive den lokale patch og ville have sin SaaS infrastruktur online senest søndag den 11. juli kl 4 om morgenen. Den seneste videoopdatering fra Sanders skitserede trin, som virksomheder kunne tage for at forberede lanceringen. I mellemtiden rapporterede en Bloomberg-artikel, at ledere i Kaseya ifølge tidligere medarbejdere i virksomheden var blevet advaret om kritiske sikkerhedshuller i softwaren ved flere lejligheder mellem 2017 og 2020, som de undlod at adressere

Søndag den 11. juli: Kaseya frigivelse patch, begynder SaaS restaurering

Kaseya lancerede lokal patch og begyndte at genoprette sin SaaS infrastruktur og hævdede kl 10.00 at have 60% af SaaS-kunder live og resten online i de kommende timer. Supportteams arbejdede med alle kunder i det lokale miljø, der havde brug for hjælp til programrettelsen.

Mandag den 12. juli: SaaS-restaurering afsluttet

Restaureringen af Kaseyas SaaS-infrastruktur var afsluttet kl. 3.00, men blev dog tvunget til at udføre uplanlagt vedligeholdelse på grund af problemer med ydeevnen, hvilket forårsagede en kort nedetid. Det fortsatte med at støtte brugere i det lokale miljø med patching-assistance.

Tirsdag den 13. juli: REvil hjemmesider forsvinder

Alle Revil-bandens hjemmesider gik pludselig offline og får sikkerhedseksperter til at spekulere på potentielle tiltag fra de amerikanske eller russiske regeringer. Dette efterlod nogle ofre ude af stand til at forhandle med REvil at gendanne data via en dekrypteringsnøgle til at låse krypterede netværk. Hos Kaseya fik rådgivere brugerne til at fortsætte med at gennemgå sine forskellige kundeguider til håndtering af hændelsen og komme tilbage online.

Onsdag den 14. juli: Kaseya patch-check og rådgivning til kunderne

“Når der køres Kinstall-programrettelsen på VSA, hvis der vælges at geninstallere VSA og enten fjerne markeringen af standardindstillingen for at installere den nyeste programrettelse eller geninstaller VSA-processen igen uden at indstillingen ”installer programrettelsen” var valgt, er det muligt, at programrettelse ikke blev anvendt,” skrev virksomheden. “Selvom det er sjældne tilfælde, anbefaler vi, at kontrollere, at den nyeste programrettelse er installeret korrekt. Vi har lavet et værktøj, der gør det muligt at sikre, at programrettelsen er korrekt installeret.”

Fredag den 16. juli: Ofre kæmper med dekrypteringsværktøj og Kaseya frigiver ikke-sikkerhedsrettelse

Med REvil’s hjemmesider stadig offline, kæmpede nogle ofre for at låse filer og systemer op på trods af at have betalt for dekrypteringsværktøj, men uden mulighed for at kontakte REvil for støtte. Kaseya meddelte, at de ville frigive en ikke-sikkerhedsrelateret patch (9.5.7.3011) for at løse funktionalitetsproblemer forårsaget af forbedrede sikkerhedsforanstaltninger. Indsættelserne ville begynde den 17. juli (SaaS) og den 19. juli (i det lokale miljø).

Lørdag den 17. juli: De første opdaterede SaaS-patchinstallationer går live

Mandag den 19. juli: Resten af opdaterede SaaS-patchinstallationer går i luften

Tirsdag 20 juli: Nye funktionalitet-patch frigives

Kaseya leverede yderligere patchopdateringer (9.5.7.3015) for at løse funktionalitetsproblemer og gjorde den opdaterede lokale programrettelse tilgængelig.

Onsdag den 21. juli: SaaS-funktionalitet opdateret

Kaseya opdaterede igen SaaS-forekomster for at afhjælpe problemer med funktionaliteten og give mindre fejlrettelser. Dette resulterede i en kort afbrydelse (2 til 10 minutter), da tjenesterne blev genstartet.

Torsdag 22 juli: Kaseya erhverver en universel dekrypteringsnøgle

Kaseya meddelte, at det havde fået en universel dekrypteringsnøgle til ransomware ofre. “Vi kan bekræfte, at Kaseya opnået værktøjet fra en tredjepart og har teams aktivt hjælpe kunder ramt af ransomware at genoprette deres miljøer, uden rapporter om noget problem eller problemer i forbindelse med decryptor”, skrev selskabet. “Kaseya samarbejder med Emsisoft om at støtte vores indsats for kundeengagement og Emsisoft har bekræftet, at nøglen er effektiv til at frigøre ofre. Kunder, der er blevet påvirket af ransomware vil blive kontaktet af Kaseya repræsentanter.” På tværs af branchen opstod massespekulation om præcis, hvordan Kaseya adgang til dekrypteringsværktøjet og om en løsesum var involveret.

Fredag 23 juli: En anden funktionel patch og SaaS opdatering frigivet, Kaseya anmoder om hemmeligholdelse for Decryptor

Nyheden om dekrypteringsnøglen bliver gjort til globale overskrifter, men detaljer om, hvordan det blev tilgængeligt, forbliver uklart. I mellemtiden udgav Kaseya en quick-fix patch 9.5.7b (9.5.7.3015) til kunder i det lokale miljø for at løse tre ikke-sikkerhedsmæssige problemer. Alle SaaS-forekomster blev også opdateret. Ifølge en CNN rapport anmodede Kaseya om hemmeligholdelse af aftale for kundeadgang til decryptor.

Lørdag den 24. juli: Kaseya afviser at kommentere løsesum betaling

Sikkerhedskilder og forretninger fortsatte med at spekulere med hensyn til detaljerne i, hvordan dekrypteringsnøglen blev opnået, men Kaseya nægter at kommentere på en eventuel løsesum.

Mandag den 26. juli: Kaseya siger at dekrypteringsværktøj ” er 100% effektiv” og ingen løsesum betalt

Kaseya udgivet følgende erklæring om dekrypteringsnøglen: “I løbet af denne sidste weekend fortsatte Kaseyas incident response team og Emsisoft-partnere deres arbejde med at hjælpe vores kunder og andre med restaureringen af deres krypterede data. Vi fortsætter med at levere decryptor til kunder, der anmoder om det, og vi opfordrer alle vores kunder, hvis data kan have været krypteret under angrebet for at nå ud til dine kontakter på Kaseya. Dekrypteringsværktøjet har vist sig 100% effektivt til at dekryptere filer, der var fuldt krypteret i angrebet.”

Trods påstande om, at Kaseya’s tavshed om, hvorvidt det havde betalt hackerne en løsesum kunne tilskynde til yderligere ransomwareangreb, hævdede selsakbet, at intet var betalt. “Mens hver virksomhed skal træffe sin egen beslutning om, hvorvidt at betale løsesummen, Kaseya besluttet efter samråd med eksperter til ikke at forhandle med de kriminelle, der begik dette angreb og vi har ikke vaklet fra denne forpligtelse. Som sådan bekræfter vi i utvetydige vendinger, at Kaseya ikke betalte en løsesum – hverken direkte eller indirekte gennem en tredjepart – for at få decryptor.”

Fredag den 10. september: REvil dukker op igen på Exploit og forklarer universel decryptor nøglefejl

Som beskrevet i et blogindlæg fra cybersikkerhed selskab Flashpoint, dukker REvil op igen på Exploit den 10. September og hævder at være tilbage online ved hjælp af sikkerhedskopier. En REvil repræsentant forklarede også, hvordan en fejl begået af en Revil-coder førte til at decryptor-værktøj uforvarende er blevet frigivet til Kaseya. “Vores krypteringsproces giver os mulighed for at generere enten en universel decryptor-nøgle eller individuelle nøgler til hver maskine”, sagde de. “Så, i færd med at generere nøglerne, var vi nødt til at generere mellem 20 og 500 dekrypteringsnøgler for hver [individuel] offer [fordi ofrene for Kaseya angreb alle havde netværk af forskellige størrelser]. En af vores kodere fejlclicked og genererede en universel nøgle og udstedte den universelle decryptor-nøgle sammen med en masse nøgler til en maskine.”

Ifølge Flashpoint syntes REvil at være fuldt operationel efter sin pause, men beviser peger også på ransomwaregruppen gør en indsats for at pleje andre aktører i deres forretning, der har udtrykt utilfredshed med gruppens forsvinden.

Onsdag den 22 september: FBI forsinker deling af dekrypteringsnøgle i tre uger på grund af frygt for det ville afsløre hemmelige operationer med at forstyrre REvil servere

En rapport fra Wall Street Journal hævdede, at FBI havde adgang til Kaseya angreb decryptor-værktøj, men forsinkede det i tre uger. FBI’s forklaring var, at på trods af hundredvis af ofre kæmper for at håndtere og komme sig efter angrebet, ville frigivelse af værktøjet have advaret Revil.

I sidste ende gik REvil offline uden FBI-indgriben og hændelsen er en passende påmindelse om almindelige kompromiser mellem retshåndhævelse og hjælp til ofre for cyberkriminalitet. I september foreslog FBI-direktør Christopher A. Wray, at beslutningen om at udskyde blev truffet i samarbejde med allierede og andre agenturer. “Vi træffer beslutningerne som en gruppe, ikke ensidigt,” sagde han. “Det er komplekse beslutninger, der er designet til at skabe maksimal effekt og det tager tid at gå imod modstandere.

Mandag den 8. november: USA anholder ukrainsk mand mistænkt for at udføre Kaseya-angreb

Det amerikanske justitsministerium meddelte, at Polen havde anholdt den ukrainske statsborger Yaroslav Vasinskyi på mistanke om at udføre angrebet mod Kaseya. Han er sammen med den russiske statsborger Yevgeniy Polyanin tiltalt for sammensværgelse om at begå bedrageri og sammensværgelse om blandt andet at begå hvidvask. Vasinskyi blev tilbageholdt i Polen, mens han afventede en amerikansk udleveringsprocedure, hvorimod Polyanin forblev på fri fod. Retshåndhævende myndigheder beslaglage mere end 6 millioner dollars i løsesum som en del af operationen.

I en kommentar til en erklæring den 8. november sagde præsident Joe Biden: “Vi bringer den føderale regerings fulde styrke til at forstyrre ondsindet cyberaktivitet og -kriminelle, styrke modstandsdygtigheden derhjemme, adressere misbrug af virtuel valuta til at hvidvaske løsepengebetalinger og udnytte internationalt samarbejde til at forstyrre ransomware-økosystemer og sikre ”havne” for ransomware-kriminelle.”

Kilde: CSO

Scroll til toppen