Kaseya, een technologiebedrijf voor ondernemingen, is de laatste slachtoffer van kwaadwillende ransomware. Het bedrijf heeft bevestigd dat ongeveer 1.500 bedrijven zijn getroffen door de aanval in het weekend van 4 juli, hoewel de aanvallers zeggen dat ze al meer dan een miljoen computers hebben getroffen.
De aanvallers hebben blijkbaar een supply chain ransomware-aanval uitgevoerd door (uiteraard) misbruik te maken van een voorheen onbekende kwetsbaarheid in de VSA-software van het bedrijf tegen hun klanten en verschillende managed service providers. VSA is de externe bewakings-en beheersoftware van het bedrijf die wordt gebruikt voor het beheren en bijwerken van eindpunten (zoals pc’s of kassa’s).
“Tot op heden zijn we op de hoogte van minder dan 60 Kaseya-klanten, die allemaal het VA on-premises product gebruikten, die rechtstreeks door deze aanval werden gecompromitteerd. Hoewel veel van deze klanten IT-diensten leveren aan meerdere andere bedrijven, begrijpen we dat de totale impact tot nu toe is geweest voor minder dan 1.500 downstream-bedrijven. We hebben geen bewijs gevonden dat een van onze SaaS-klanten is gecompromitteerd”, aldus Kaseya in een update.
De aanval werd aanvankelijk gelanceerd op vrijdag 2 juli. Kaseya bracht de volgende dag een Compromise Detection Tool uit aan klanten, die servers en eindpunten zou analyseren om te zien of er aanwijzingen voor een compromis werden gedetecteerd. Op zondag 4 juli vroegen de acteurs $ 70 miljoen aan Bitcoin in ruil voor hun universele decoderingstool. De volgende dag kondigde Kaseya een patch aan voor lokale klanten, die binnen 24 uur nadat de SaaS-servers weer online zijn uitgerold zou moeten worden.
In het weekend had Kaseya een ontmoeting met de FBI en de CISA om beveiligingsmaatregelen te bespreken, zoals vereisten voor systemen en netwerkverharding. Het bedrijf merkte ook op:”Voordat de service opnieuw wordt opgestart, wordt een reeks vereisten gepost om onze klanten de tijd te geven deze tegenmaatregelen te nemen in afwachting van een terugkeer naar service op 6 juli.”
Kaseya’s servers bleven dagen offline na de aanval, die gevolgen had voor bekende bedrijven zoals Coop, een Zweedse supermarktketen met meer dan 800 winkels, waarvan de kassa’s waren gecrasht. Kaseya zegt dat het aanvullende aanvalsdetails zal verstrekken en klanten op de hoogte zal houden van beveiligingsinspanningen en een volledige hersteltijdlijn terwijl ze verder gaan. Deze aanval
via ZDNet
