Hackarna, REvil, tog sig in via ett nyligen upptäckt säkerhetshål i Kaseyas mjukvara, VSA. Enligt uppgifter så höll Kaseya på att åtgärda buggarna när hackarna avslog till.
Kaseya hade fått en varning av nederländska The Dutch Institute for Vulnerability Disclosure (DIVD) att det fanns buggar i deras mjukvara. Buggar som enligt DIVD ska vara tämligen enkla att exploatera och utnyttja för att ta sig in i sårbara system.
After this crisis, there will be the question of who is to blame. From our side, we would like to mention Kaseya has been very cooperative. Once Kaseya was aware of our reported vulnerabilities, we have been in constant contact and cooperation with them. When items in our report were unclear, they asked the right questions. Also, partial patches were shared with us to validate their effectiveness. During the entire process, Kaseya has shown that they were willing to put in the maximum effort and initiative into this case both to get this issue fixed and their customers patched. They showed a genuine commitment to do the right thing. Unfortunately, we were beaten by REvil in the final sprint, as they could exploit the vulnerabilities before customers could even patch.
Attacken genomfördes praktiskt taget samtidigt som Kaseya jobbade med att ta fram buggfixar och åtgärda säkerhetshålen.
Grupp
Den grupp som tror ligga bakom intrånget och ransomware-attacken, ryska REvil, har även gett sig tillkänna via en webbplats på the Dark Web. Där kräver nu utpressarna 70 miljoner dollar för att lämna över de dekrypteringsnycklar som krävs för att kunna återställas filerna. Det har ifrågasatts om det verkligen är REvil som ligger bakom attacken men det finns flera tydliga indikationer om att det är den ryska hackargruppen som ligger bakom:
- REvil har tagit på sig ansvaret enligt ett scenario som i delar liknar gruppen tillvägagångssätt sedan tidigare.
- REvil har använts samma webbplatser som tidigare för att framföra sina krav på pengar.
- Mjukvaran som använts, ransomware, överensstämmer i allt väsentligt med gruppens tidigare attacker.
- De digitala spår som samlats in pekar också mot REvil och Ryssland.
Därmed inte sagt att det det är fastslaget att det är den här gruppen som är skyldiga till attacken som genomfördes i fredags eftermiddag svensk tid. Attacken har lett till att drygt 800 Coop-butiker fortfarande tvingats att hålla stängt och störningar inom SJs och Apoteket Hjärtats verksamheter bland annat. Internationellt så har drygt 1000 av Kaseyas kunder drabbats.
Uppdatering
Enligt den senaste uppdateringen från Kaseya så pågår arbetet med att återställa och åtgärda drabbade system fortfarande. Rådet är att inte koppla upp sårbara system mot nätet utan att fortfarande se till att aktuella servrar inte har någon access ut mot nätet. Kaseyas förhoppning är att börja att kunna koppla upp systemen igen för att återuppta normal drift under dagen, idag måndag, 5 juli.
All on-premises VSA Servers should continue to remain offline until further instructions from Kaseya about when it is safe to restore operations. A patch will be required to be installed prior to restarting the VSA and a set of recommendations on how to increase your security posture.
0 kommentarer