De aanval op Kasaya VSA maakte misbruik van veel kwetsbaarheden in de software. Cybercriminelen hebben geluk, want het bedrijf stond op het punt een patch uit te rollen.
REvil ransomware, die momenteel verschillende bedrijven treft, is kwetsbaar voor Kaseya VSA, software voor computerbeheer op afstand. Het bedrijf werkte al actief aan een oplossing met het Dutch Institute for Vulnerability Disclosure (DIVT), maar het was te laat.
DIVT is een Nederlandse vrijwilligersorganisatie die kwetsbaarheden verzamelt en communiceert naar de betrokken partijen. In een Website, legt voorzitter Victor Givers uit hoe DIVT-onderzoeker White Boonstra voorheen onontdekte (zero day) kwetsbaarheden in de Casey VSA ontdekte. Deze werden ontdekt tijdens een nauwkeurig onderzoek van de administratieve tools van het systeem en gerapporteerd aan Cassia.
Dhr. Jeevers onderstreept dat het bedrijf altijd heeft meegewerkt. “Na deze crisis rijst de vraag wie de schuldige is. Van onze kant willen we zeggen dat Kasaya zeer coöperatief was. Zodra hij zich bewust werd van de kwetsbaarheden die we hebben gevonden, zullen we coöperatief blijven en contact houden .”
Dvd’s met gedeeltelijke correcties om hun impact te beoordelen. Het bedrijf negeerde de waarschuwingen van het beveiligingssysteem dus niet.
“Gedurende het hele proces heeft Casey laten zien dat hij er alles aan wil doen om het probleem voor zijn klanten op te lossen. Het bedrijf was vastbesloten om het juiste te doen. Maar helaas werden we op het laatste moment omringd door Revil, die mogelijk gebruik heeft gemaakt van de kwetsbaarheid voordat klanten de verbindingen gebruikten.”
Voorkom schade
Hoewel de aanval niet geheel werd vermeden, beperkten de missies van DIVT en Kasaya de schade grotendeels. Niet alleen was het bedrijf al klaar met een oplossing, ook hebben de twee bedrijven de afgelopen dagen samengewerkt.
Hierdoor konden klanten sneller communiceren en steeg het aantal Casio VSA-besturingssystemen dat via internet toegankelijk was in het weekend van 2.200 naar 140. Andere nationale CERD’s werden ook op de hoogte gebracht en het nieuws dat Casey op dit moment geen VSA zou gebruiken, verspreidde zich al snel over de hele wereld.
Kasaya raadt momenteel aan om onsite servers offline te houden. Voor SaaS-klanten worden datacenters uitgefaseerd. Zijn BijwerkenHet bedrijf levert ook een tool om te controleren of een systeem (een server of terminal) is gecompromitteerd.
REvil ransomware, die momenteel verschillende bedrijven treft, verspreidt zich via een kwetsbaarheid in Kaseya VSA, een software voor computerbeheer op afstand. Het bedrijf werkte al actief samen met het Dutch Institute for Vulnerability Disclosure (DIVT) om met een oplossing te komen, maar het was te laat. TIVD is een Nederlandse vrijwilligersorganisatie die kwetsbaarheden verzamelt en meldt aan slachtoffers. In een blogpost legt president Victor Jewers uit hoe DIVT-onderzoeker Whitsey Boonstra de voorheen ondetecteerbare (zero day) kwetsbaarheden in Casey VSA ontdekte. Deze werden ontdekt tijdens een nauwkeurig onderzoek van de administratieve tools van het systeem en gerapporteerd aan Cassia. Jewers houdt vol dat het bedrijf altijd coöperatief is geweest. “Na deze crisis rijst de vraag wie de schuldige is. Van onze kant willen we zeggen dat Casey zeer coöperatief was. Zodra hij zich bewust werd van de kwetsbaarheden die we hebben gevonden, zullen we contact blijven houden met de co-op.” vroeg VT ook. Het bedrijf negeerde de waarschuwingen van het beveiligingssysteem dus niet. “Gedurende het proces heeft Kasia laten zien dat hij er alles aan wil doen om het probleem voor zijn klanten op te lossen. Het bedrijf was vastbesloten om het juiste te doen. Maar helaas werden we in de laatste sprint omringd door Revil, waar klanten konden profiteren van de impact voordat ze de patches gebruikten. Niet geheel vermeden, hebben de missies van DIVT en Ghazia de schade grotendeels beperkt. Niet alleen was het bedrijf al klaar met een bugfix, maar de twee bedrijven hebben de afgelopen dagen samengewerkt, zodat we klanten zeer snel op de hoogte konden stellen en het aantal Casia VSA-loopsystemen dat toegankelijk was via internet ging van 2.200 naar 140 in het weekend. Andere nationale CERD’s werden ook op de hoogte gebracht en deze keer verspreidde het nieuws zich snel over de hele wereld dat Kasaya geen VSA zou moeten gebruiken, en Kasaya beveelt momenteel aan om onsite servers offline te houden. Voor SaaS-klanten worden datacenters uitgefaseerd. In de update biedt het bedrijf ook een tool om te controleren of een systeem (een server of terminal) is gecompromitteerd.
More Stories
Tour de France 2021: Nederlander Mollema wint alleen
Voor moord veroordeelde Nederlander aangehouden in Anderlecht
Gevaar in Nederland: Nederlanders glijden vrijwillig in zeer dunne sneeuw