Kaseya struikelt met SaaS-herstel en laat patch nog wachten

Ondertussen is de IT-leverancier begonnen aan een PR-offensief. Zo heeft CEO Fred Voccola in een interview met persbureau Reuters gesteld dat er 800 tot hooguit 1500 bedrijven zijn getroffen door de ransomware-infectie die via de VSA-software (Virtual Systems Administrator) van zijn bedrijf is verspreid. De topman vertelt verder dat Kaseya deze geavanceerde aanval niet heeft kunnen zien aankomen, dat zo'n cyberaanval iedereen kan overkomen en dat Kaseya nu 'aan de beurt' was.

800.000 tot 1 miljoen mkb'ers

Deze verklaring heeft het bedrijf ook kritiek opgeleverd. Voor cybercriminelen is een aantrekkelijk doelwit juist een maker van beheersoftware voor systemen, die ook gebruikt wordt door managed service providers (MSP's) om IT-omgevingen van weer andere bedrijven te beheren. CEO Voccola verklaart in een video die gisteren is vrijgegeven dat wereldwijd zo'n 800.000 tot 1 miljoen kleinere bedrijven qua IT worden beheerd door die dienstverlenende Kaseya-klanten.

Experts menen bovendien dat er veel meer slachtoffers zijn dan het aantal van 800 tot 1500 geraakte bedrijven dat de Kaseya-CEO eerder heeft genoemd. Een deel van de geraakte bedrijven is mogelijk nog niet bekend. Daarnaast zijn er ook organisaties die weliswaar niet door de ransomware zijn geïnfecteerd maar wél zijn geraakt door dit massale security-incident. De aangeraden maatregel voor VSA-gebruikers en hun klanten is namelijk om die beheersoftware uit te schakelen.

Offline sinds vrijdag

De leverancier heeft dit zelf ook gedaan voor zijn SaaS-aanbod, waarvan het consequent beweert dat dit geen risico heeft gelopen. Het offline halen op vrijdagmiddag (Amerikaanse tijd) was om het zekere voor het onzekere te nemen. Het weer online brengen, stond eerst gepland om binnen 24 uur te gebeuren. Dat is een aantal keer opgeschoven, waarna eergisteren is aangekondigd dat het SaaS-herstel gisteren zou beginnen en vandaag rond zou zijn.

Tijdens het uitvoeren van de herstelprocedure is Kaseya echter op niet nader genoemde problemen gestuit met de SaaS-uitvoering van zijn product VSA. De uitrol is dan ook uitgesteld, waarbij niet bekend is gemaakt voor hoe lang. Bij het eerdere opschorten sinds zaterdag is er een paar keer gesproken van grofweg 24 uur. Nu kwam uit Kaseya geen tijdsverwachting, maar heeft het wel een nieuwe informatie-update beloofd voor vandaag. Daarin meldt het nu (woensdagmiddag) dat het ontdekte probleem nog niet is opgelost.

Patch allang in de maak

In de mededeling van gisteren heeft de softwareproducent aangegeven dat de patch voor klanten met on-premise VSA-servers komt ná herstel van de eigen SaaS-omgeving. De te installeren fix voor de kwetsbaarheid waarlangs cybercriminelen ransomware hebben verspreid, komt dan binnen 24 uur. Het is niet duidelijk of die belofte nu ook nog staat.

De patch was al wel in ontwikkeling vóór de massale cyberaanval via VSA. Een deel van de kwetsbaarheden was namelijk eerder ontdekt door het Nederlandse DIVD (Dutch Institute for Vulnerability Disclosure). De ethische hackers van die organisatie hebben dit verantwoord gemeld aan Kaseya én vervolgens geholpen door de toen in ontwikkeling zijnde patch te testen.

Kaseya-CEO Fred Voccola geeft uitleg over de "flagrante aanval" op zijn bedrijf en klanten: