Kaseya, leverancier van ICT-beheersoftware, heeft laten weten [1] onderzoek te doen naar een ransomware-incident. Cybersecuritybedrijf Huntress Labs stelt dat Kaseya doelwit is geworden van een supply-chain-aanval, waarbij klanten die het product VSA gebruiken, doelwit kunnen worden van de REvil-ransomware [2]. VSA is een product voor beheer op afstand, dat breed in gebruik is bij ICT-beheerpartijen en managed service providers. Afnemers hebben een zogenaamde VSA-agent op hun beheerde systemen geïnstalleerd.
Huntress Labs heeft inmiddels acht managed service providers geïdentificeerd die kampen met ransomware-incidenten [3]. Deze partijen gebruiken allemaal het product VSA, al is nog niet geverifieerd dat VSA de bron van de aanval is. Desondanks raadt Kaseya voor de zekerheid ten sterkste aan om alle instanties van VSA server direct uit te schakelen [4]. Kaseya heeft dit zelf ook gedaan voor alle instanties van VSA op hun SaaS-platform [5].
Handelingsperspectief
Het NCSC adviseert beheerders van Kaseya VSA-servers om het advies van Kaseya [4] op te volgen en alle instanties van Kaseya VSA server uit te schakelen, in elk geval tot er meer informatie bekend is.
Het NCSC adviseert klanten die VSA-agents in gebruik hebben, om contact te zoeken met hun beheerorganisatie voor verdere instructies.
Het NCSC vermoedt dat er doelgroeporganisaties zijn die VSA gebruiken, maar waarbij het niet in de aangeleverde foto staat. Gebruikt uw organisatie VSA (zowel server als agent), dan horen wij dit graag via info@ncsc.nl. Heeft uw organisatie of leverancier te kampen met een ransomware-aanval, dan kunt u dit melden op cert@ncsc.nl.
