Kaseya-järjestelmän haavoittuvuus mahdollisti maailmanlaajuisen kyberhyökkäyksen
Olemme saaneet lukea viimepäivinä ikäviä kyberuutisia etävalvonta- ja hallintatyökaluja tarjoavan yrityksen Kaseyan kyberhyökkäyksestä ja sen laaja-alaisista vaikutuksista. Hyökkääjät käyttivät Kaseyan VSA-tuotteen 0-päivä haavoittuvuutta levittäessään kiristyshaittaohjelmia lunnasohjelmia useisiin organisaatioihin ympäri maailmaa.
Yhdysvaltalaisen etävalvonta- ja hallintatyökaluja tarjoavan Kaseyan järjestelmän haavoittuvuuden kautta venäläistaustainen REvil-hyökkääjäryhmä pääsi salaamaan mahdollisesti yli miljoona tietokonetta eri puolilla maailmaa.
Hyökkäys alkoi perjantaina 2. heinäkuuta, kun Yhdysvalloissa valmistauduttiin itsenäisyyspäivän viettoon. Tällainen juhlapäivä on hyvä mahdollisuus hyökkääjille, kun yritysten it-tukea saattaa olla valmiudessa tavallista vähemmän. Haittaohjelma pääsee helpommin tekemään tuhojaan kenenkään huomaamatta ja mahdollisen paniikin syntyessä voidaan lunnaitakin maksaa herkemmin.
Kaseya kertoo, että hyökkääjät pystyivät hyödyntämään VSA-tuotteen nollapäivähaavoittuvuuksia suorittamaan mielivaltaisen komennon suorittamisen. Tämä antoi hyökkääjille mahdollisuuden hyödyntää VSA: n vakiotoimintoja, jotta lunnasohjelma saataisiin päätelaitteisiin. Ei ole toistaiseksi todisteita siitä, että Kaseya VSA -koodipohjaa olisi muutettu vahingollisesti.
Hyökkäys ei ole toimitusketjuhyökkäys (kuten SolarWinds-hyökkäys aiemmin tänä vuonna), johon liittyisi ohjelmiston manipulointi. Tapaus on samankaltainen siinä mielessä, että molemmat hyökkäykset hyödyntävät luotettuja toimittajatahoja. Erot ovat kuitenkin riittävän merkittäviä, jotta näitä kahta voidaan pitää erillisinä tekniikoina. Itse asiassa Kaseya joutui samanlaisen hyökkäyksen uhriksi jo vuonna 2019.
Vaikutukset
Hyökkäyksen tarkkaa vaikutusta ei vielä tiedetä, mutta erään analyysin mukaan 1500 organisaatiota olisi kärsinyt jo tästä. Kyberrikollisryhmä REvilin vaatimus miljoonasta laitteesta, johon laite vaikuttaa, on uskottava, sanoo F-Securen tutkimusjohtaja Mikko Hyppönen.
— Jos tämä pitää paikkansa, tämä hyökkäys on mahdollisesti historian suurin ransomware-hyökkäys (tai heti toiseksi suurin vuoden 2017 WannaCry:n jälkeen), Hyppönen toteaa.
On mahdotonta täysin tietää hyökkäyksen vaikutusta etukäteen. Reutersin haastattelussa REvil ryhmä myönsi, että hyökkäyksen ulottaminen Uuden-Seelannin kouluihin oli vahinko.
Onko F-Secure asiakkaat suojattu hyökkäystä vastaan?
On. F-Secure on havainnut ja tunnistanut kyseisen lunnasohjelman, joka on otettu kuudessa maassa: Argentiinassa, Irlannissa, Italiassa, Norjassa, Ruotsissa ja Yhdysvalloissa. F-Securen tuotteet ja palvelut tarjoavat suojaa tätä hyökkäystä vastaan monin tavoin. Lisätietoja suojauksestasi sekä teknisistä yksityiskohdista ja indikaattoreista löydät F-Securen asiakkaille tarkoitetusta lausunnosta (engl.): F-Secure statement on July 2nd Kaseya VSA incident – F-Secure Community
F-Securen globaalista blogista löydät tarkemman kuvauksen havainnoista ajalta 2.7 – 6.7.2021
Mitä Kaseya-asiakkaiden tulisi tehdä?
Jos sinulla on paikallinen Kaseya VSA –tuote, sammuta ja eristä se kunnes on saatu varmistus siitä, että haavoittuvuuksien hyödyntämisriskiä ei ole. F-Secure neuvoo Kaseya SaaS -asiakkaita tarkistamaan mahdollista altistumistaan ja arvioimaan haavoittuvuuden hyväksikäytön riskiä.
F-Secure suosittelee myös, että organisaatiot tarkistavat tunnukset ja käyttöoikeudet, joihin Kaseya VSA -tuotteella olisi pääsy. Resetoi tunnukset Kasey VSA -päivityksen jälkeen varmuuden vuoksi. Tällä hetkellä ei ole näyttöä siitä, että jokin näistä olisi vaarantunut, mutta lisätietoja ja päivityksiä tilanteesta tulee koko ajan lisää. Kaseya tarjoaa edelleen päivityksiä verkkosivuillaan.
Mitä hyökkäyksestä voidaan oppia?
Tutkimukset ovat edelleen kesken ja kokonaiskuva hahmottuu ajan kanssa, mutta tässä vaiheessa voidaan varmasti nimetä muutamia oppeja tulevaisuuden varalle.
Kaseyan läpinäkyvyys, rohkea päätös sulkea koko SaaS-infrastruktuuri ja välitön viestintä asiakkaille osoittavat, että yritys toteuttaa strukturoituja vastaussuunnitelmia, jotka on valmistettu tällaiselle hyökkäykselle. Suunnitelman täytäntöönpano näyttää myös toteutuneen nopeasti, mikä johtuu todennäköisesti sisäisestä valmiudesta ja koulutuksesta.
Jokainen yritys voisi oppia Kaseyan reagoinnista hyökkäykseen. Organisaation tulisi luoda reagointisuunnitelma ja harjoitella, kuinka suunnitelma toteutettaisiin hyökkäyksen sattuessa.
Tässä on luettelo kysymyksistä, joita organisaatiot voivat esittää itselleen seuraavan kerran, kun he ovat huolissaan kyberhyökkäyksestä:
1.Mitä tietoja hyökkääjät todennäköisesti haluavat?
2.Pystymmekö tunnistamaan uhkatekijän tai hyökkääjän profiilin?
3.Mitkä vaikutukset ovat jo julkisesti tiedossa ja mitä hyökkäys prosessista tiedetään?
4.Onko reagointisuunnitelmamme valmis auttamaan tämäntyyppisten tapahtumien hillitsemisessä / lieventämisessä?
Miten toimia tulevaisuudessa lunnashyökkäyksiä vastaan?
Haasteena on se, että organisaatioissa puolustavan puolen pelaajien on tehtävä kaikki oikein mutta hyökkääjien tarvitsee löytää vain yksi virhe. Hyökkääjät eivät myöskään noudata mitään käytäntöjä, sääntöjä tai prosesseja kuten puolustajat.
Turvallisuus on jatkuvasti kehittyvä käytäntö, jonka monimutkaistaa kasvava luottamus kolmansien osapuolten toimittajiin ja ohjelmistoihin. Organisaatiot voivat kuitenkin parantaa näkymiään huomattavasti vähentämällä hyökkäyspinta-alaa.
Tässä ovat vaiheet, joita kaikki organisaatiot voivat tehdä nyt suojautuakseen lunnashyökkäyksiltä:
• Laadukkaat varmuuskopiot ja testien suorittaminen jatkuvasti niiden eheyden varmistamiseksi
• Tee haavoittuvuuksienhanllintaa ja päivitä säännöllisesti korjauspäivitykset. Julkisiksi suunnatut järjestelmät olisi asetettava etusijalle.
• Tarkista kaikki tietoturvakäytännöt mukaan lukien käyttäjien hallinta, Asset management ja ohjelmistojen hallinta, jotta pysyt ajan tasalla uhkaympäristöstä. Kaikkia järjestelmiä koskevia käytäntöjä, joita muutetaan jatkuvasti, tulisi myös tarkistaa jatkuvasti.
• Käsittele kolmansien osapuolten toimittajia tai ohjelmistoja osana organisaatiota ja tarkista ne vaatimustenmukaisuuden varmistamiseksi.
• Kehitä monikerroksinen puolustusstrategia sekä reagointisuunnitelma hyökkäyksen sattuessa. Harjoittele, kehitä ja arvioi tätä strategiaa uudelleen varmistaaksesi, että se pysyy ajantasalla jatkuvasti muuttuvassa uhkaympäristössä.
• Varmista, että kaikki kolmannen osapuolen koodiriippuvuudet on tarkastettu räätälöityjen ohjelmistojen osalta. Kun integroit kolmannen osapuolen ohjelmistoja, etenkin avoimen lähdekoodin, varmista, että se tarkastetaan ja päivitetään aina, kun uusi versio on saatavilla, jotta pysyt ajan tasalla tietoturvakorjauksista.
Lisätietoa
1.Kaseyan raportointi tapauksesta: Incident Overview & Technical Details – Kaseya
2. Kaseyan päivitykset: Important Notice July 7th, 2021 – Kaseya
3. Aikaisempaa uutisointia REvil-ryhmästä (Pulse Secure VPN -serveri hyväksikäyttö): exploiting vulnerable Pulse Secure VPN
4. REvil-ryhmän oma arvio hyökkäyksen vaikutuksista: REvil Takes Credit for Kaseya Attack and Asks for $70 Million (gizmodo.com)
4. Uutistoimisto Reuters on artikkelinsa mukaan on haastatellut REviliä: Up to 1,500 businesses affected by ransomware attack, U.S. firm’s CEO says | Reuters
Kategoriat