Skip to main content

Kaseya VSA aanval: grootschalige ransomwareaanval

Door 13 juli 2021 CERT, SOC, Kwetsbaarheid

Deze blog bevat informatie over de melding dat Kaseya te maken heeft met een mogelijke aanval op hun VSA oplossing. Zodra we een update hebben voegen we die aan deze blog toe. Meer informatie over mogelijke risico’s en details vind je onderaan deze blog.

Update 13  juli 2021

20:30 | Een patch voor Kaseya VSA is beschikbaar voor on-premise oplossingen. Het advies is om deze zo snel mogelijk te installeren. Belangrijk is om wel eerst vast te stellen dat de omgeving niet is gecompromiteerd. De patch zal niet een actieve compromise ongedaan maken. Zie voor meer informatie de Kaseya website.

Update 7  juli 2021

12:00 | Er is inmiddels een detectietool vrijgegeven, deze kan op zowel endpoints als op VSA servers worden gebruikt. Deze kan hier worden gedownload.
Tevens wordt er gewerkt aan het weer beschikbaar stellen van de SaaS-diensten (deze zijn eerder offline gehaald), parallel aan deze actie wordt een patch voor on-premise ontwikkeld. Deze zal worden vrijgegeven nadat de SaaS-dienstverlening is hersteld. Zo kan de patch optimaal worden getest in de gecontroleerde SaaS-omgeving. Tijdlijnen zijn afgelopen dagen meerdere keren verschoven, een exacte datum is op dit moment nog niet bekend.

Update 3 juli 2021

10:00 | Een hackersgroep heeft met een grootschalige cyberaanval, die nog altijd aan de gang is, ongeveer tweehonderd bedrijven getroffen. Dat meldt persbureau Bloomberg. De bedrijven zouden zijn getroffen door gijzelsoftware. De aanval is mogelijk begonnen bij Kaseya, een leverancier van ICT-beheersoftware. Het Nationaal Cyber Security Centrum in Den Haag roept bedrijven op het product VSA, dat gebruikt wordt voor beheer op afstand, uit te schakelen. Volgens het NCSC is het product breed in gebruik bij beheerpartijen die ICT-steun verlenen aan andere bedrijven. Kaseya heeft ook besloten alle SaaS cloud omgevingen uit te schakelen. De aanvallen maken gebruik van een onbekende kwetsbaarheid in het product. Het advies blijft met klem om de VSA server uit te schakelen, totdat duidelijk is hoe de servers worden aangevallen.

Heb je nu hulp nodig bij een cyberincident? Bel dan 24 uur per dag, 7 dagen per week met 088 27 47 800.

Update 2 juli 2021

22:00 | Er is vandaag informatie gepubliceerd waarbij is aangegeven dat Kaseya te maken heeft met een mogelijke aanval op hun VSA oplossing.

Aanleiding en achtergrond van deze blog

Deze blog bevat informatie over het mogelijke risico en advies om schade te voorkomen of beperken. Onderstaand staan de mogelijke risico’s, details en achtergrondinformatie.

Potentieel risico

De systemen van Kaseya komen langzaam weer in de lucht. Voor meer informatie adviseert Tesorion officiële Kaseya update kanalen te volgen.

Detailinfo

Voor meer informatie adviseert Tesorion officiële Kaseya update kanalen en het Kaseya status overzicht te volgen.

Achtergrond

Meer detailinformatie is beschikbaar via de officiële Kaseya kanalen

Aanmelden

Close Menu