Ook het NCSC raadt beheerders die gebruikmaken van de systeembeheersoftware van Kaseya dingend aan de systemen uit te schakelen. Ook bedrijven die via dit systeem de software laten beheren moeten snel het zelfde doen.
Aanleiding is de meghack die sinds vrijdagnacht plaatsvindt door een hackersgroep die aan Rusland wordt gelinkt. Het gaat om een grote ransomware-aanval waardoor wereldwijd honderden bedrijven zijn getroffen. Beveiligingsbedrijf Huntress Labs meldde vrijdag dat de aanvallen aan de gang waren.
VSA
Het gaat om bedrijven die de de SaaS-producten gebruiken van Kaseya VSA (Virtual Assistance Administrator). Zij werden slachtoffer van de REvil-ransomware. Kaseya raadt zelf dringend aan om alle systemen van de VSA-server zo snel mogelijk uit te schakelen.
Het NCSC adviseert beheerders van Kaseya VSA-servers om het advies van Kaseya op te volgen en alle systemen van deze servers direct uit te schakelen tot er meer informatie beschikbaar is en contact op te nemen met hun beheerorganisatie voor verdere instructies.
VSA faciliteert systeembeheer op afstand en wordt breed gebruikt door ICT-beheerpartijen en managed-service-providers. Gebruikers van VSA hebben hiervoor een VSA-agent op hun beheerde systemen geïnstalleerd. Die software blijkt nu kwetsbaar te zijn voor aanvallen met ransomware.
Zwakke plek
Inmiddels is er iets meer bekend over de aanval. Volgens Kaseya zelf hebben de aanvallers gebruikgemaakt van een zwakke plek in het systeem. Een groep ethische hackers. het Dutch Institute for Vulnerability Disclosure (DIVD), had het lek al wel gezien en gemeld. Men kreeg het niet op tijd dicht om het tij nog te keren.
De losgeld-eis is intussen ook bekend. De Russische hackersgroep eist van Kaseya 70 miljoen dollar (rond de 59 miljoen euro) in bitcoin. Daarmee kan het bedrijf de systemen die draaien bij alle gedupeerden in een keer weer vrijgeven.
Getroffen
Intussen is de hele Zweedse tak van de supermarktketen Coop al wel getroffen. Afgelopen zaterdag moest het bedrijf haast alle 800 winkels voortijdig sluiten. Via de hack waren alle kassa’s van alle filialen getroffen.
De hack treft ook Nederland, maar daar is de schade voor zover bekend wat beperkter. Zo moesten honderden klanten van ICT-bedrijf VelzArt in Waardenburg vrijdagavond hun systemen ijlings afsluiten.
Lees ook:
- Wachtwoord Welkom2020 veroorzaakte hack Hof van Twente
- Cybercriminaliteit: Hoeveel last heeft Nederland ervan?
