Redactie - 05 juli 2021

Kaseya VSA toepassing slachtoffer van ransomware aanval

Kaseya VSA toepassing slachtoffer van ransomware aanval image

Het VSA-product van Kaseya is het slachtoffer geworden van een geavanceerde cyberaanval. Het betreft een REvil ransomware attack met potentieel 200 bedrijven die geraakt zijn, middels de supply chain.

De Kaseya beveiligings-, ondersteuningscommunicatie- en klantenteams blijven de klok rond werken in alle regio's om het probleem op te lossen en onze klanten weer aan het werk te krijgen.

Kaseya meldt: "Gehoste VSA-servers worden operationeel zodra Kaseya heeft vastgesteld dat we de activiteiten veilig kunnen herstellen. We zijn bezig met het formuleren van een gefaseerde terugkeer naar service van onze SaaS-serverfarms met beperkte functionaliteit en een hogere beveiligingshouding (geschat in de komende 24-48 uur, maar dat is onderhevig aan verandering) op geografische basis. Meer details over zowel de beperkingen, de veranderingen in de beveiligingshouding als het tijdsbestek zullen later op de dag in het volgende communiqué staan. Alle on-premises VSA-servers moeten offline blijven tot verdere instructies van Kaseya over wanneer het veilig is om de bewerkingen te herstellen. Er moet een patch worden geïnstalleerd voordat de VSA opnieuw wordt opgestart en een reeks aanbevelingen voor het verbeteren van de beveiligingshouding. Onze externe experts hebben ons geadviseerd dat klanten die ransomware hebben ervaren en communicatie van de aanvallers ontvangen, niet op links mogen klikken, omdat deze mogelijk als wapen zijn gebruikt."

Velzart

Het Nederlandse Velzart heeft ook last van de ransomware aanval. Het bedrijf meldt op zijn site rond zijn servers: "het allergrootste gedeelte van servers van onze klanten is hier op locatie en/of inmiddels weer retour richting klant locatie. Ook deze nacht gaat er weer een team volop de werkzaamheden doorzetten om morgenochtend maximaal server situaties richting de klant terug te kunnen brengen. Ondanks de maximale inzet is het wel eerlijk om aan te geven dat we zeker niet alle klanten hierin kunnen bedienen maar de klanten die het betreft zijn inmiddels ook op de hoogte." Over de werkstations meldt Velzart: "Deze middag en avond hebben we via ENOA een script laten lopen om de impact van de situatie goed in te kunnen schatten en daar waar mogelijk systemen op te kunnen schonen van de initiële bestanden van de aanval. De bron van de software is sinds vrijdagavond (2 juli, red.) al niet meer actief. Deze twee zaken zorgen ervoor dat we voor werkstations meer duidelijkheid hebben."

NCSC

Het NCSC adviseert beheerders van Kaseya VSA-servers om het advies van Kaseya op te volgen en alle systemen van deze servers direct uit te schakelen. Ook adviseert het NCSC aan gebruikers van VSA-agents om contact op te nemen met hun beheerorganisatie voor verdere instructies. Meer informatie over wat te doen als uw organisatie geïnfecteerd is met ransomware of over hoe u een ransomware-aanval kan voorkomen vindt u op deze pagina en in deze NCSC-factsheet over ransomware.  

Lees meer details op de website van Kaseya en op de website van de Dutch Institute for Vulnerability Disclosure (DIVD).

Lees ook meer details op: https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-200-companies-in-msp-supply-chain-attack/

Trend Micro BW BN week 10-11-13-14-2024 Copaco | BW 25 maart tm 31 maart 2024
Trend Micro BW BN week 10-11-13-14-2024

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!