NCSC waarschuwt voor ransomware via Kaseya VSA
Gebruikers van VSA, een product voor beheer op afstand, dat breed in gebruik is bij ICT-beheerpartijen en managed service providers, lopen een groot risico om door ransomware (gijzelsoftware) getroffen te worden. Daarvoor waarschuwt het Nationaal Cyber Security Center. “Schakel VSA direct uit!”
Kaseya, leverancier van ICT-beheersoftware, heeft laten weten onderzoek te doen naar een ransomware-incident, dat inmiddels zo’n 200 Amerikaanse bedrijven heeft getroffen. Die moeten miljoenen dollars betalen om hun data terug te krijgen, als ze geen goede back-upsystemen hebben. Cybersecuritybedrijf Huntress Labs stelt dat Kaseya doelwit is geworden van een supply-chain-aanval, waarbij klanten die het product VSA gebruiken, doelwit kunnen worden van de Russische REvil-ransomware. VSA is een product voor beheer op afstand, dat breed in gebruik is bij ICT-beheerpartijen en managed service providers. Afnemers hebben een zogenaamde VSA-agent op hun beheerde systemen geïnstalleerd.
Uitschakelen
Huntress Labs heeft inmiddels acht managed service providers geïdentificeerd die kampen met ransomware-incidenten. Deze partijen gebruiken allemaal het product VSA, al is nog niet geverifieerd dat VSA de bron van de aanval is. Desondanks raadt Kaseya voor de zekerheid ten sterkste aan om alle installaties van VSA server direct uit te schakelen. Kaseya heeft dit zelf ook gedaan voor alle installaties van VSA op hun SaaS-platform.
Handelingsperspectief
Het NCSC adviseert beheerders van Kaseya VSA-servers om het advies van Kaseya op te volgen en alle installaties van Kaseya VSA server uit te schakelen, in elk geval tot er meer informatie bekend is. Ook adviseert het NCSC klanten die VSA-agents in gebruik hebben, om contact te zoeken met hun beheerorganisatie voor verdere instructies. Het NCSC vermoedt dat er doelgroeporganisaties zijn die VSA gebruiken, maar waarbij het niet in de aangeleverde foto staat. Wie VSA gebruikt (zowel server als agent), kan dat melden via [email protected]. Wie te kampen heeft met een ransomware-aanval, kan dit melden op [email protected].