Aanval beheersoftware leverancier Kaseya

03-07-2021. Geachte relatie,

Zoals je wellicht van het nieuws hebt vernomen zijn er zeker 200 Amerikaanse bedrijven slachtoffer geworden van een grootte cyberaanval. Zie bijgevoegde artikel. https://nos.nl/artikel/2387724-zeker-200-bedrijven-getroffen-door-grote-ransomware-aanval. Waarschijnlijk is de aanval begonnen bij Kaseya, een bedrijf dat ICT-beheersoftware levert. ILC-Europe BV maakt ook gebruikt van deze software. Kaseya heeft direct actie ondernomen door toegang tot de software uit te schakelen. Conclusie tot op heden is dat het SaaS platform (waar wij gebruik van maken) geen risico heeft gelopen (statement Kaseya: “Our SaaS customers were never at-risk. We expect to restore service to those customers once we have confirmed that they are not at risk, which we expect will be within the next 24 hours.”).

Er zijn geen klanten van ILC-Europe getroffen door de cyberaanval bij Kaseya.

Updates

Update 14-07-2021. De meeste van onze klanten zijn weer benaderbaar via de beheertool. We zijn bezig de monitoring weer in een betrouwbare staat te brengen. Het kan zijn dat u ten onrechte meldingen van offline systemen krijgt, deze mogen genegeerd worden. Onze excuses hiervoor.

Update 12-07-2021. Onze applicatiebeheerders zijn bezig het runbook te volgen om de diensten gefaseerd weer te activeren. Er zijn o.a. enkele wijzigingen m.b.t. de security die wij in ons proces moeten verwerken. Tevens zijn alle agents bij klanten gepauzeerd, wij moeten deze handmatig weer activeren. Voor klanten achter een beveiligde internetverbinding (E-Zorg) zijn aanvullende acties nodig i.v.m. aanpassingen in de firewall, het kan wat langer duren voor deze weer geheel up&running zijn.

Update 11-07-2021. Wij hebben bericht gekregen dat de heractivatie is gestart. Wanneer deze is afgerond kunnen wij het runbook volgen om gefaseerd onze monitoring- en beheerdiensten weer te hervatten.

Update 09-07-2021. Vooralsnog is er meer tijd nodig om een veilige heractivatie van de servers uit te kunnen voeren. Aankomende zondagavond is het nieuwe moment de nieuwe planning voer het online brengen van de SaaS-servers, waaronder die van ons. Uiteraard is deze planning onder voorbehoud.

Update 08-07-2021. De technicians zijn bezig met het verhelpen van de technische problemen. De oorzaak lijkt bekend, er is al een nieuw runbook (handleiding) voor afnemers samengesteld met nieuwe procedures m.b.t. actie na heractivering. Tevens zullen hier de nieuwe security measures in beschreven worden. Wij verwachten dat de heractivatie op korte termijn uitgevoerd zal worden.

Update 07-07-2021. Kaseya is tijdens het heractiveren van de SaaS servers tegen technische problemen aangelopen, mogelijk door de aangepaste beveiliging. Hierdoor is activering van de servers uitgesteld. Zodra de problemen opgelost zijn krijgen we een nieuwe planning door. Vooralsnog is monitoring en remote beheer via onze beheerservers dus nog niet actief.

Update 06-07-2021. Er zijn geen nieuwe besmettingen meer gemeld en het totaal aantal infecties ligt lager dan in eerste instantie gedacht, mede door het snel en adequaat optreden van de engineers bij Kaseya. Kaseya heeft een document met technische details beschikbaar gesteld met toelichting op het incident en de genomen maatregelen. Tevens is er een nieuwe versie van de detectietool beschikbaar gesteld. Vanuit een overleg is besloten de SaaS servers (waaronder die van ILC-Europe) vannacht tussen 0:00 en 03:00 gefaseerd weer op te starten. Naar verwachting kunnen wij dus morgen weer onze werkzaamheden daarop hervatten.

Het ticketsysteem lijkt ook weer beter op gang te komen, en klanten kunnen weer zonder problemen tickets inschieten. Wij doen ons best de achterstand zo snel mogelijk weg te werken.

Update 05-07-2021. Naar verwachting komen de SaaS servers in de loop van morgen weer in de lucht. Het platform is voorzien van extra voorzorgsmaatregelen en heeft nieuwe IP-adressen gekregen. Klanten die voor VSA uitgaande firewallregels in hebben gesteld zullen aanpassingen door moeten voeren. Wij zullen contact met hen opnemen zodra de benodigde informatie beschikbaar is.

Vanuit onze antivirus/endpoint-security leveranciers Eset is formele bevestiging gekomen dat zij actief monitoren welke aanvalsmethoden worden gebruikt en kunnen reageren om de momenteel gebruikte aanvalsmethode. Zij gaven deze statement door: “Voorlopig kunnen we bevestigen dat ESET detectie biedt voor de huidige dreigingskenmerken als het mogelijke lek wordt misbruikt”.

Er is tot nu toe geen waarneming van misbruik bij onze klanten geweest. Kaseya heeft meerdere malen verklaart dat de beheeromgeving waar onze servers onder vallen niet tijdens de aanval zijn geraakt. Deze zijn daarnaast voorzien van extra security en monitoring. Naast deze maatregelen bij de bron zijn onze klanten waar de Eset Security oplossing actief is ook voorzien van bescherming tegen eventueel misbruik. Door combinatie van deze factoren achten wij het veilig om na livegang van de servers onze monitoring en werkzaamheden via Kaseya weer te hervatten.

Update 04-07-2021. Sinds de genomen tijdelijke maatregelen zijn er geen nieuwe meldingen van getroffen klanten gemeld. De inbraakmethode is gerepliceerd en hiervoor wordt momenteel een fix getest ter uitrol om herhaling te voorkommen. Er is tevens een detectie tool ontwikkeld om bij eindklanten te onderzoeken of zij zijn getroffen. Deze zal op korte termijn aan ons beschikbaar gesteld worden. Deze zullen wij bij verdenking uitvoeren, of men kan via de helpdesk een expliciet verzoek tot uitvoeren aanvragen (mail naar helpdesk@ilc-europe.nl met onderwerp “verzoek tot uitvoeren detectietool”).

Er is tot op heden bij geen enkele klant van ILC melding geweest dat zij getroffen zijn geweest, zowel vanuit de klanten niet als via onze gemonitorde antivirus platform.

Onze servers wordt naar verwachting de komende 24-48 uur goedgekeurd voor activering waarna de monitoring en remote beheer functionaliteit weer actief worden.

Update 03-07-2021. Vooralsnog zijn er geen aanwijzingen dat de hosted servers die wij in gebruik hebben zijn aangetast, het lijkt alleen om zelfgehoste server bij klanten te gaan (onze klanten hebben die niet).

De focus van Kaseya ligt dan ook bij de zelfgehoste servers. Zoals eerder gemeld zijn ook onze servers uit voorzorg tijdelijk inactief gezet waardoor er op dit moment geen automatische monitoring plaatsvindt (antivirus/endpoint security staat geheel los hiervan en is actief). Zodra met goed zekerheid vastgesteld kan worden dat de hosted servers veilig zijn en niet vatbaar zijn voor de kwetsbaarheid in kwestie worden deze in fases weer actief gemaakt en kunnen wij onze monitoring en remote beheer hervatten. Dit zal vermoedelijk vanavond of morgen in de loop van dag zijn.

‍