En ransomware-attack slog hårt mot Coop och de flesta av deras butiker har fått hålla stängt under flera dagar när deras kassasystem infekterats av ransomware. Här får du en inblick i vad som har hände, omfattningen och rekommendationer för att minska risken att drabbas av ransomware.
Vad har hänt?
I Sverige var det framförallt Coop men även Apoteket Hjärtat, ST1 och Plantagen som hör till de som drabbades av denna ransomware-attack. Den gemensamma nämnaren var att de använde sig av Visma Esscom på sina kassasystem och de i sin tur använder Kaseya VSA som är en on-premises lösning som Managed Service Providers (MSP) kan använda för att övervaka kunders datorer eller system. Allt talar för att det är hackergruppen REvil som ligger bakom attacken som utnyttjar en zero-day sårbarhet i Kaseya VSA.
Det är en form av supply-chain attack där de cyberkriminella attackerar MSP:er för att sedan kunna få tillgång till deras kunders nätverk och system.
Truesec anordnade en YouTube session den 5 juli 2021 där de diskuterade hur attacken gick till och vad som var känt vid den tidpunkten.
Hur många organisationer har drabbats?
Enligt Kaseya har 60 av deras kunder drabbats av ransomware-attacken (6 juli) och eftersom kunderna är IT-företag som levererar tjänster till sina kunder (MSP:er) handlar det om uppskattningsvis 1500 organisationer som har drabbats vid denna tidpunkt.
Ross McKerchar, Sophos VP, uttalar sig:
"This is one of the farthest-reaching criminal ransomware attacks that Sophos has ever seen. At this time, our evidence shows that more than 70 managed service providers were impacted, resulting in more than 350 further impacted organizations. We expect the full scope of victim organizations to be higher than what's being reported by any individual security company."
Det återstår att se hur denna attack utvecklar sig för att kunna bedöma dess totala spridning. Det innebär stora förluster av intäkter när verksamheter står stilla. Om vi tittar på fallet med Coop så säger deras VD att de förlorar uppskattningsvis 90 miljoner per dag i omsättning. Sedan tillkommer kostnader med att komma åter i drift. Generellt har kostnaderna för ransomware fördubblats senaste året enligt Sophos State of Ransomware Report 2021.
Hackergruppen REvil begär 70 miljoner USD i lösensumma för hela attacken men att betala är ingen bra idé då det göder de cyberkriminella så de kan fortsätta med det de håller på med. Dessutom pekar undersökningar på att endast 8 procent av de som betalar lösensumman får tillbaka all sin data.
[demo] Så infekteras en dator av REvil ransomware
Här kan du se vad som händer på en dator som infekteras av REvil ransomware.
Tekniska analyser av REVil ransomware attacken
Flera säkerhetsföretag analyserar attacken och ger sin syn på den. Här kan du ta del av några analyser som ger en bra bild av hur det gått till ur ett tekniskt perspektiv.
- Sophos Labs: REvil uses supply chain exploit to attack hundreds of businesses
- Trustwave SpiderLabs: Diving Deeper Into the Kaseya VSA Attack: REvil Returns and Other Hackers Are Riding Their Coattails
Vad som sticker ut i SpiderLabs analys är att de har kommit fram till att datorer som kör ryska och en rad andra språk som standard undviks i denna attack vilket inte är ovanligt när ryska hackers är involverade.
Rekommendationer för de som drabbats
CISA och FBI har tagit fram rekommendationer för MSP:er och deras kunder som har drabbats av Kaseya ransomware attacken. Så här lyder rekommendationerna för de som drabbats:
- Ladda ner Kaseya VSA Detection Tool. Detta verktyg analyserar system (antingen VSA-server eller hanterad slutpunkt) och avgör om det finns några indikatorer på kompromiss (IoC).
- Aktivera och tillämpa multifaktorautentisering (MFA) på varje enskilt konto som är under organisationens kontroll och - i största möjliga utsträckning - aktivera och genomdriv MFA för kundinriktade tjänster.
- Implementera en lista på tillåtna IP-adresser för att begränsa kommunikation med remote monitoring and management (RMM) till kända IP-adresser.
- Placera administrativa gränssnitt för RMM bakom ett virtuellt privat nätverk (VPN) eller en brandvägg i ett dedikerat administrativt nätverk.
Så skyddar sig organisationer mot ransomware
Här är några konkreta råd om hur organisationer kan minska risken att drabbas av ransomware samt snabbt komma tillbaka om de drabbas.
- Inställningar och behörigheter
Se över era systeminställningar och regelverk. Se över behörigheter och tillgång. Se till att användare körs med minsta möjliga behörighet för att kunna utföra sitt arbete. Desto färre administratörskonton som finns i verksamheten, desto mer begränsade möjligheter finns det för en skadlig kod att flytta sig lateralt, dvs sprida sig. Har ni möjlighet att använda vitlistning är det mycket effektivt för att hindra okänd kod från att exekvera på era endpoints. - Minska attackytan
Ha system för att filtrera skadlig e-post från systemet innan de levereras till användarna. Systemet bör som minst ha möjlighet att i realtid kunna skanna mål för länkar innan de visas för användare, djupskanna bilder, inbäddad kod i bilagor etc. Om ni använder Microsoft 365, se över vilken version ni har och vad som är inkluderat och uppgradera vid behov alternativt komplettera med en separat lösning. - Patcha system regelbundet
Vi rekommenderar att ha ett system som möjliggör patchning av alla verksamhetens enheter och applikationer, även de från tredje part. Bäst är att ha ett sätt att få överblick över alla sårbarheter som finns i IT-miljön och ha en process för att se till att dessa åtgärdas genom patchar eller andra rekommenderade åtgärder. - Gör täta och konsekventa backuper
Föra att kunna återställa system som drabbats av ransomware behöver det finnas backuper och rutiner får återställning av dessa. En del ransomware inleder sin attack med att leta efter backupen och radera denna. Därför är rekommendationen att även ha en backup som är offline. - Inför multifaktorautentisering
För att stoppa att ransomware sprider sig bör multifaktorautentisering införas på alla konton i organisationen. - Inför system för att isolera ransomware
Det finns system som integreras med ert nuvarande klientskydd och eventuella SIEM-lösning, lyssnar på nätverkstrafiken, upptäcker när ransomware exekverar på en klient, isolerar och stänger av denna samt förhindrar ett storskaligt utbrott i verksamheten. Varför ha bara brandvarnare när man också kan ha ett automatiskt sprinklersystem för att släcka branden?
Önskar du veta mer om hur du kan skydda er verksamhet mot ransomware är du välkommen att ta kontakt med oss.
