Kaseya zegt dat ze de encryptiesleutel hebben die de oplossing biedt voor de wereldwijde aanval met ransomware die eerder deze maand bedrijven zwaar trof. Met de sleutel zouden bedrijven uiteindelijk weer bij hun bestanden kunnen.
Volgens Kaseya kregen ze de sleutel woensdag. Een beveiligingsbedrijf heeft ook al getest of het werkt. Klanten die nog problemen hebben met de gijzelsoftware kunnen sinds gisteren dus hulp krijgen. Het gaat vooral om bedrijven die de de SaaS-producten gebruiken van Kaseya VSA (Virtual Assistance Administrator).
Derde partij
Hoe is nog onduidelijk hoe Kaseya aan de sleutel kwam. Ze zeggen alleen dat ze het kregen van een niet nader te noemen derde partij. Of dat gaat om de Russische hackergroep REvil, die de software installeerde, activeerde en vervolgens losgeld eiste, is dus ook niet bekend. De groep eiste na het actief worden van de ransomware 70 miljoen dollar (omgerekend 59 miljoen euro) om de gegijzelde software weer vrij te geven.
Kaseya maakt softwarepakketten voor onderhoud op afstand (SaaS) van computersystemen. De software is overal ter wereld in gebruik bij IT-bedrijven die dergelijk beheer en onderhoud uitvoeren. Dat betekent dat naast de IT-bedrijven zelf ook hun klanten door de ransomwareaanval zijn getroffen.
NCSC
De aanval trof begin juli wereldwijd rond de vijftienhonderd bedrijven. Vrijwel meteen raadde het NCSC Nederlandse beheerders die gebruikmaken van de systeembeheersoftware van Kaseya die systemen meteen uit te schakelen. Ook bedrijven die via dit systeem de software laten beheren moesten zo snel mogelijk het zelfde doen.
VSA faciliteert systeembeheer op afstand en wordt breed gebruikt door ICT-beheerpartijen en managed-service-providers. Gebruikers van VSA hebben hiervoor een VSA-agent op hun beheerde systemen geïnstalleerd. Die software had dus kwetsbaarheden waardoor een achterdeur onstond. Daardoor konden de aanvallers bij zoveel bedrijven wereldwijd binnendringen.
Saillant detail bij de aanval was dat het bijna lukte om de aanvallers te stoppen. Vlak voordat de aanval werd ingezet had een groep Nederlandse ethische hackers. het Dutch Institute for Vulnerability Disclosure (DIVD), het lek opgemerkt en aan Kaseya gemeld. Ze waren bezig met een oplossing maar ze waren net niet op tijd zodat de aanval toch kon plaatsvinden.
Lees ook:
-
Impact ransomware steeds groter
-
Cybercriminaliteit: Hoeveel last heeft Nederland ervan?
