Discover and read the best of Twitter Threads about #Kaseya
Most recents (3)
Aangezien ik vandaag veel post over #Kaseya en @DIVDnl hier weer een draadje met uitleg voor de niet-IT'ers. Want waar heb ik het nu weer over? Kaseya is software die wereldwijd gebruikt wordt door bedrijven die IT leveren aan klanten; Managed Service Providers (MSP's).
Een MSP neemt alle zorg uit handen om een IT omgeving goed en (meestal) veilig te laten draaien. Zo'n MSP heeft vaak veel klanten en dus ook toegang tot al hun IT omgevingen. Helaas kan het voorkomen dat de software die ze hiervoor gebruiken kwetsbaarheden bevat.
Zo noemen we een fout in het systeem waardoor criminelen een aanval uit kunnen voeren zoals ransomware (gijzelsoftware). Tegenwoordig stelen ze bij zo'n aanval vaak ook nog (gevoelige) data waarvan ze dreigen dit de publiceren als je niet betaalt.
There's a lot of confusion around what actually happened with #Kaseya. We initially thought Kaseya was popped leading to a supply chain attack with a malicious update. However, if it's an 0-day on Kaseya VSA software then it's not a supply chain attack at that point.... #Pedantry
BUT! If popping VSA with an 0day leads to compromise of an MSP and their customers are subsequently hacked, that would constitute a supply-chain attack. (Early reports suggest as much) #Pedantry
If you need an easier short-hand for this whole incident, 'clusterfuck' will do.
How to detect software supply chain attacks with #Sysmon, #MicrosoftDefender, or any other #EDR:
1. You use specific software in your environment.
2. The software is usually installed on a few servers that have privileges across the environment.
1. You use specific software in your environment.
2. The software is usually installed on a few servers that have privileges across the environment.
3. You probably have a naming convention for your servers. Also, servers have defined IP subnets.
4. Your EDR or Sysmon has "Company" information in the process event or process network logs.
Combining all together:
4. Your EDR or Sysmon has "Company" information in the process event or process network logs.
Combining all together:
Without even knowing what kind of software is used in the environment, you can analyze your process event logs to see if your servers have a 3rd party software installed. The same logs provide the computer name and/or the computer IP.
