Update 5 juli: Kaseya stelt detectietool voor VSA-servers beschikbaar
Leverancier van ICT-beheersoftware Kaseya doet momenteel onderzoek naar een ransomware-incident. Volgens cybersecurityorganisatie Huntress Labs is Kaseya het doelwit geworden van een aanval in de leveranciersketen. Gebruikers van het Kaseya-product VSA (Virtual Assistance Administrator) zouden hierdoor het slachtoffer kunnen worden van de zogeheten REvil-ransomware.
Update 5 juli
Kaseya heeft een tool beschikbaar gesteld waarmee binnengedrongen systemen van een VSA-server en endpoints, zoals computers, die door deze server beheerd worden opgespoord kunnen worden. Deze tool zoekt alleen naar sporen van besmetting die Huntress Labs heeft gedeeld en die specifiek zijn voor deze ransomware-aanval. Het advies blijft om VSA-servers offline te houden totdat er meer informatie is vanuit Kaseya. Het NCSC raadt naast het gebruik van Kaseya's detectie-tool aan om met een bredere blik logbestanden na te gaan en aanvullende monitoring en analyse uit te voeren. De 'Handreiking voor implementatie van detectieoplossingen' bevat meer aandachtspunten voor monitoring.
VSA
VSA faciliteert systeembeheer op afstand en wordt breed gebruikt door ICT-beheerpartijen en managed-service-providers. Gebruikers van VSA hebben hiervoor een VSA-agent op hun beheerde systemen geïnstalleerd.
Hoewel nog niet zeker is of VSA de oorzaak is van de ransomware-incidenten die Huntress Labs bij acht managed-service-providers die VSA gebruiken vastgesteld heeft, raadt Kaseya ten zeerste aan om alle systemen van de VSA-server zo snel mogelijk uit te schakelen.
Wat kan ik doen?
Het NCSC adviseert beheerders van Kaseya VSA-servers om het advies van Kaseya op te volgen en alle systemen van deze servers direct uit te schakelen. Ook adviseert het NCSC aan gebruikers van VSA-agents om contact op te nemen met hun beheerorganisatie voor verdere instructies.
Meer informatie over wat te doen als uw organisatie geïnfecteerd is met ransomware of over hoe u een ransomware-aanval kan voorkomen vindt u op deze pagina en in deze NCSC-factsheet over ransomware.
Rol van het NCSC
Het Nationaal Cyber Security Centrum (NCSC) werkt aan een digitaal veilig Nederland. Het NCSC probeert de digitale weerbaarheid van Nederland te vergroten, de gevolgen van cyberincidenten te beperken en zo maatschappelijke ontwrichting te voorkomen. Bekijk hier onze basismaatregelen die ervoor zorgen dat jouw organisatie digititaal veilig wordt en blijft. Mocht u slachtoffer zijn van cybercriminaliteit, dan raden we u aan om bij de politie aangifte te doen.