UPDATE 06/07: Z-CERT heeft een update uitgestuurd naar haar deelnemers met aanvullende informatie over de Kaseya-hack, bijvoorbeeld over de aanvalsmethode en de aangekondigde patch van Kaseya. Ook in Nederland heeft de aanval gevolgen gehad. In de zorg zijn leveranciers die gebruik maken van Kaseya, voor de monitoring van het electronisch patienten dossier bijvoorbeeld. Zij hebben de servers allemaal uitgeschakeld en losgekoppeld. Er is door Kaseya tooling beschikbaar gesteld om te checken voor gebruikers om te checken of zij zijn geïnfecteerd. Voor zover Z-CERT bekend heeft de aanval niet tot infecties geleid binnen de Nederlandse zorgsector.
UPDATE 03/07: Z-CERT heeft op dit moment geen signalen dat de aanval de Nederlandse zorgsector heeft geraakt. Aangezien het nog weekend is, kan de werkelijke omvang pas komende week worden vastgesteld. De securityspecialisten blijven de aanval monitoren.
Originele bericht 02/07 : Z-CERT heeft berichten ontvangen dat er op dit moment wereldwijd een supply chain attack plaatsvindt in de monitoringssoftware Kaseya VSA. De aanvallers misbruiken de software om ransomware uit te rollen. Er zijn signalen dat reeds honderden organisaties over de hele wereld getroffen zijn door deze aanval. Ook in Nederland wordt software van Kaseya gebruikt.
Kaseya VSA is een tool om remote monitoring uit te voeren en wordt onder andere gebruikt in ‘ICTZ ProActive Monitoring Agent’.
Kaseya heeft uit voorzorg ook hun SaaS diensten in onderhoudsmodus gezet. Ook leverancier ICTZ (Ilionx) heeft hun servers uitgezet. Z-CERT adviseert, in lijn met advies leverancier, om deze software (server en agents) onmiddelijk uit te schakelen. Z-CERT heeft contact met de leverancier en heeft haar deelnemers onmiddellijk geinformeerd over deze aanvallen. Z-CERT houdt de situatie nauwlettend in de gaten en informeert hij deelnemende zorginstanties bij eventuele updates. IoC’s van dit incident zijn gedeeld via het ZorgDetectieNetwerk. Deelnemende zorgorganisaties die gebruikmaken van Kaseya kunnen altijd contact opnemen met het piketnummer van Z-CERT.
UPDATE 06/07: Er zijn inmiddels meer details bekend gemaakt door Kaseya. Cybercriminelen hebben een zero-day kwetsbaarheid in Kaseya misbruikt waardoor ze authenticatie konden omzeilen en ze in staat waren om willekeurige commando’s uit te voeren op Kaseya VSA on prem servers. Dit hebben zij vervolgens misbruikt om ransomware uit te rollen. Het gaat hier niet om een aanval zoals bij Solarwinds waar het product zelf is aangepast en zo een malafide update werd gepusht naar alle gebruikers. Nee, er is sprake van “mass exploitation” van een zero-day kwetsbaarheid van systemen die ontsloten zijn aan het internet. Waarom wordt het dan een “supply chain attack” genoemd? Omdat het product veel gebruikt wordt door Managed Service Providers om endpoints van hun klanten te monitoren en te beheren.
Kaseya meldt dat tegen de 60 klanten geraakt zijn, wat doorgewerkt heeft naar bijna 1500 organisaties. De laatste meldingen van compromitatie stammen van 3 juli.
Dit bericht is geschreven op 2/7/2021 om 23:00. Updates volgen met meer informatie.