Afgelopen vrijdag zijn duizenden bedrijven wereldwijd getroffen door een ransomware-aanval. Ook Nederlandse bedrijven behoren tot de slachtoffers. De cybercriminelen hebben naar eigen zeggen meer dan een miljoen computers versleuteld. Ze vragen 70 miljoen dollar voor een universele decryptietool waarmee alle slachtoffers weer toegang krijgen tot hun bestanden.
De ransomware is in omloop gebracht via zogeheten VSA-software van de Amerikaanse softwareleverancier Kaseya. IT-dienstverleners gebruiken dit programma om systemen van hun klanten op afstand te onderhouden en te beheren.
REvil
De cyberaanval is hoogstwaarschijnlijk uitgevoerd door de aan Rusland gelieerde REvil-groep. “Dat is misschien wel de meest professionele bende wat betreft ransomware. De omvang van de aanval en details komen nu naar buiten,” aldus directeur Dave Maasland van IT-beveiligingsbedrijf ESET. De eerste ransomare-exemplaren van deze criminelen werden in april 2019 waargenomen. REvil zat ook achter de aanval op JBS, de grootste vleesverwerker ter wereld. Volgens sommige deskundigen heeft de groep bewust het weekend van 4 juli gekozen, omdat dit een nationale feestdag is in de VS, waardoor organisaties onderbezet zijn.
Managed serviceproviders
Kaseya heeft een detectietool ontwikkeld waarmee managed serviceproviders (MSP’s) kunnen controleren of hun omgeving is aangevallen. Ruim negenhonderd MSP’s zouden de tool inmiddels hebben gebruikt. Providers wordt aangeraden hun VSA-servers offline te houden. De FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security raadt MSP’s aan om hun VSA-servers achter een VPN of firewall op een apart beheernetwerk te plaatsen. Een ander advies is om alleen bekende IP-adressen toegang te geven.