UPDATE RANSOMWARE-AANVAL BEHEERSOFTWARE

Connections
02 juli 2021

Vrijdagavond 2 juli jl. zijn een aantal relaties van Kaseya, een leverancier van beheersoftware, getroffen door een ransomware-aanval. Het doel van deze aanval is om systemen te gijzelen. Voor bepaalde diensten gebruiken wij deze software. 

Wij zijn direct door Kaseya geïnformeerd en hebben vervolgens pro-actief onze servers die deze software aansturen afgesloten. Wij hebben onderzoek gedaan of we onderdeel zijn geworden van de aanval. Alles wijst erop dat dit niet het geval is 

Inmiddels hebben alle virusscanners de aanval gesignaleerd waardoor de bedreiging zich niet verder kan verspreiden. Mogelijk gebruiken we bovengenoemde software ook om uw systemen te beheren. Praktisch gevolg is dan dat wij uw omgeving op dit moment niet volledig kunnen ondersteunen zoals we gewend zijn. 

In afwachting van nadere berichtgeving en een softwarepatch worden de betreffende servers nog niet opnieuw opgestart. Wij worden doorlopend op de hoogte gehouden door Kaseya en volgen de ontwikkelingen nauwgezet. 

 Of bekijk hier de meestgestelde vragen

 

UPDATE

 

Update woensdag 21 juli – 21.00 uur 

In de achterliggende week hebben wij onze dienstverlening op alle werkplekken weer geactiveerd en zijn de (systeem)beheerderaccounts weer volledig vrijgegeven.

Alhoewel we geen onderdeel zijn geworden van de aanval, was dit voor ons wel aanleiding om onze securitydienstverlening vervroegd onder de loep te nemen. In de achterliggende periode is onderzocht hoe wij onze dienstverlening kunnen uitbreiden met software die u extra beschermen tegen ransomware. Na meerdere aanbieders te hebben vergeleken, zijn er twee partijen overgebleven. Van deze partijen testen wij de oplossingen momenteel uitgebreid op onze eigen omgeving.  

Nadat wij een oplossing hebben gekozen, zal er een upgrade plaatsvinden op onze securitydienstverlening. Het doel van deze upgrade is om ook in de toekomst dergelijke aanvallen zo goed als mogelijk te vermijden. Zo wordt de beveiliging van uw ICT-omgeving naar een nog hoger niveau gebracht. 

Graag maken wij u erop attent dat dit bericht de laatste algemene update is. Ook zullen de algemene nieuwsupdates op ons blog stoppen. De komende maanden zullen we namelijk al onze relaties individueel gaan benaderen en zullen hen gedetailleerde informatie gaan geven over de financiële impact. 

Update woensdag 14 juli – 14.00 uur

In vervolg op onze berichtgeving eerder deze week, hierbij een korte update over de voortgang. In de namiddag van 12 juli zijn wij gestart om de Kaseya software op alle systemen weer actief te maken. Inmiddels is onze dienstverlening op alle servers weer hervat. Op dit moment zijn wij bezig de software te activeren op de werkplekken die opgesteld zijn op uw kantoorlocatiesVanaf volgende week zullen we de diensten op werkplekken buiten uw kantoorlocatie ook weer opstarten.  

Vanaf 15 juli worden de (systeem)beheerdersaccounts (Aspect Monitoring voor systeembeheerders) weer stapsgewijs vrijgegevenBetreffende beheerders worden hierover nog nader ingelicht. 

Vooralsnog ondervinden we nauwelijks bijzonderheden of problemen. Automatische meldingen worden weer netjes ontvangen en opgevolgd. Ook updates en bijvoorbeeld geplande herstarts lopen zoals we gewend waren. Onze oproep om alert te zijn blijft onverminderd staan. Neem voor uw vragen of opmerkingen alstublieft contact met ons op via 0184-675 400 of servicedesk@aspect-ict.nl. 

Update maandag 12 juli – 14.00 uur

De afgelopen dagen heeft Kaseya koortsachtig doorgewerkt aan het herstellen van hun diensten. Vanaf zondagavond laat is stapsgewijs de nieuwste versie van de software doorgezet naar alle dealers. Vanmorgen zijn wij gestart met het opstarten van onze Kaseya servers. In de loop van de dag zullen wij gefaseerd uw systemen gaan toevoegen.

We kunnen ons goed voorstellen dat u vragen heeft over dit incident. Om een beter beeld te geven van de aanleiding, de huidige situatie en het vervolg hebben wij onderstaand verschillende onderwerpen verder uitgewerkt.

Hiermee beantwoorden we de veelgestelde vragen, maar tegelijkertijd kunnen we ons voorstellen dat u meer wilt weten. Neem daarom voor uw vragen of opmerkingen alstublieft contact met ons op via 0184-675 400 of servicedesk@aspect-ict.nl. Blijft vooral alert!

Wat is er gebeurd?
Kaseya, een leverancier van IT beheersoftware, is vrijdag 2 juli jongstleden onderdeel geworden van een hack. Het doel van de hack was om systemen te gijzelen en losgeld op te eisen. Helaas is dat wereldwijd bij verschillende gebruikers van de software, en hun relaties, gelukt. Kaseya heeft hen geadviseerd terug te vallen op backups.

Wat heeft Kaseya gedaan?
Kaseya heeft hun software, procedures en security met behulp van vele externe deskundigen tegen het licht gehouden en herzien. Hierbij zijn een fors aantal verbeteringen naar voren gekomen. Om deze door te voeren en goed te testen, heeft Kaseya tot afgelopen zondagmiddag de tijd genomen.

Wat heeft Aspect ICT gedaan?
Wij gebruiken de Kaseya beheersoftware voor verschillende diensten. Vanuit deze samenwerking zijn wij pro-actief door Kaseya geïnformeerd en hebben alle aanbevelingen, testscenario’s en voorbereidingen tot het herstel doorlopen. Hieruit bleek al heel snel dat uw en onze systemen geen onderdeel van de hack waren.

Sinds begin vorige week heeft hebben we uitgebreide ‘runbooks’ en testen ontvangen. Deze hebben we doorlopend op onze systemen gedraaid en alle aanbevelingen hebben we pro-actief doorgevoerd. Zo zijn de Kaseya servers nog verder geïsoleerd, zijn ze herstart en zijn wachtwoorden herzien en uitgebreid naar nog meer tekens. Daarnaast hebben we ingesteld dat onze Kaseya beheerservers vanaf nóg minder IP-adressen benaderbaar zijn.

Wat is Aspect ICT nu aan het doen?
Sinds vanmorgen vroeg hebben wij toegang tot de nieuwe software van Kaseya. Deze nieuwe software wordt geïnstalleerd en getest. In de loop van de middag herstellen wij gefaseerd alle diensten naar systemen die op uw vaste kantoorlocaties staan. Hierbij worden de automatische beheertaken vanaf vanavond weer opgestart.

Pas later in de week zullen we diensten herstellen naar systemen die búiten uw vaste locatie gebruikt worden. Denk hierbij aan laptops die bijvoorbeeld bij het thuiswerken of onderweg worden gebruikt.

We hanteren hierbij nog nadrukkelijker het principe ‘Zero Trust’. Zo blokkeren we standaard al het internetverkeer en geven alleen toegang aan IP-adressen en apparatuur waarbij het zeker is dat deze bij uw of onze organisatie in gebruik zijn.

Ook heeft Kaseya ingebouwd dat wijzigingen in procedures voortaan alleen door zogenaamde Kaseya Beheerders goedgekeurd en doorgevoerd mogen worden.

Wat kan er nog niet?
Een aantal relaties maakt gebruik van een zogenaamd (systeem)beheerdersaccount (ASPect Monitoring voor systeembeheerders). Deze accounts geven we op dit moment nog niet vrij. We verwachten dat deze op zijn vroegst aanstaande donderdag weer volledig te gebruiken zijn.

Wat is het vervolg voor mijn omgeving?
Hoe lastig het ook is, we hopen dat u uw vertrouwen in ons, onze medewerkers en ons ‘gereedschap’ niet verliest. Wij doen ons uiterste best u zo goed mogelijk te ondersteunen. Tegelijkertijd zet deze hack ons aan om naast de Kaseya omgeving, óók onze andere systemen en onze procedures nogmaals tegen het licht te houden en de beveiliging te verbeteren. Een klein voorbeeld daarvan is dat wij vanaf heden het overnemen van systemen nog maar vanaf een beperkt aantal IP-adressen zullen toelaten.

Daarnaast zijn we op dit moment bezig om onze huidige beveiligingsdienst te voorzien van extra bescherming. Om dit goed voor te bereiden en in te schatten wat de (prijs)consequenties hiervan zijn, lopen er inmiddels gesprekken met meerdere leveranciers. In de loop van de week hopen wij u hierover verder te informeren.

Donderdag 8 juli - 22:00 uur

Uit de laatste berichten die we van Kaseya hebben ontvangen, blijkt dat zij meer tijd nodig hebben om de beloofde patch beschikbaar te stellen. Het is hun verwachting dat ze de patch op zijn vroegst maandag 12 juli beschikbaar kunnen stellen.

Ondertussen maken wij een plan hoe we onze diensten die gebaseerd zijn op het Kaseya platform na installatie van de patch weer kunnen gaan activeren bij onze klanten.

De gebeurtenissen van afgelopen weekend dagen ons uit om met u de volgende stappen te zetten rondom ICT-security. Op dit moment onderzoeken we anti-ransomwaresoftware van meerdere leveranciers. We maken op korte termijn een keuze uit één van de leveranciers en voegen hun software toe aan onze Aspect beveiligingsbundels. We bezinnen ons hoe we hier mee om moeten gaan en komen daar volgende week bij u op terug.

De afgelopen dagen hebben wij het beheer van uw systemen kunnen borgen, ook al is het wat omslachtiger en tijdsintensiever dan normaal. Normaal gesproken gebruiken we hiervoor Kaseya, echter op dit moment gebruiken we hiervoor menselijke inzet en andere tools.

Dat betekent dat we wat vaker handmatig inloggen op uw systemen om controles en bijvoorbeeld geplande herstarts te doen.

Daarmee voorkomen we helaas niet alles en roepen we u opnieuw op alert te blijven. Neem alstublieft voor al uw vragen contact met ons op via 0184-675 400 of servicedesk@aspect-ict.nl

Woensdag 7 juli - 11:53 uur 
Binnen Kaseya wordt wereldwijd24 uur per dag gewerkt aan de beloofde patches en meerDoorlopend krijgen wij updates en worden we op de hoogte gehouden over de voortgang.

Het laatste bericht van vannacht meldt dat er een vertraging is ontstaan bij het opleveren van de patches. 
De redenen hiervoor zijn divers en hebben te maken het feit dat de gehele infrastructuurdoorlopende controles en (beveiligings)maatregelen waaronder de dienst plaatsvindt tegen het licht worden gehoudenheroverwogen en bijgesteld naar de nieuwste inzichtenDit allemaal om de kans op herhaling verder te verkleinen.

Ook wij zitten niet stil. Afgelopen weekend hebben we een crisisteam benoemd en houden zo onze procedures, tools en werkwijzen tegen het licht. Volgende week zullen we u hierover verder informeren.

Heeft u behoefte aan meer gedetailleerde informatie rondom de wijzigingen die Kaseya aan het doorvoeren is? Hoe wij tegen de ontwikkelingen aankijken of andere vragen? Neem dan alstublieft contact met ons op via 0184-675 400 of mail naar servicedesk@aspect-ict.nlWe roepen u op alert te blijven en alle afwijkingen die u ziet of problemen die u ervaart direct bij ons te melden. 

Dinsdag 6 juli - 08:00 uur
Weer een nacht volop gedetailleerde informatie vanuit Kaseya maar nog niet het nieuws waarop wij gehoopt haddenDe verwachte patch is ontwikkeld en gaat nu een test- en validatieproces in. Inschatting is dat deze aanpassing op zijn vroegst donderdagmorgen wordt vrijgegeven. 

De oproep blijft om extra alert te zijn op afwijkingen of problemen. In de tussentijd zetten wij alternatieve tools in om u te ondersteunen. Actieve monitoring van uw systemen is nog niet mogelijk. Als u zorgen heeft met betrekking tot monitoring hebben we de mogelijkheid om dit via een andere oplossing te activeren.  

Neem hiervoor en voor alle andere vragen contact met ons op via 0184-675 400 of stuur een mail servicedesk@aspect-ict.nl

Maandag 5 juli - 08.00 uur 
Ook afgelopen nacht zijn we op de hoogte gehouden van de voortgang bij Kaseya. Er is veel communicatie over alle lopende issues. Daarin is opnieuw bevestigd dat er wordt gewerkt aan een release, plan van aanpak en extra beveiligingsmaatregelen waarmee de dienstverlening hersteld kan worden. 

Kaseya hoopt vandaag te kunnen melden wanneer de nieuwe tools beschikbaar komen. Maar neemt uiteraard de tijd om alles uitgebreid te testen en goed voor te bereiden voor het zover is.  

Zondag 4 juli - 21.10 uur  
Kaseya meldt nog steeds met man en macht bezig te zijn met het maken van de beloofde patch. Er wordt hiervoor nog geen tijdspad afgegeven.  

Zondag 4 juli - 12:40 uur
Van Kaseya hebben we eerder vanmorgen een softwaretool ontvangen waarmee we kunnen analyseren of systemen zijn voorzien van de betreffende malware. We hebben intern deze tool al op verschillende servers en werkplekken gedraaid. Ook hebben we inmiddels wat klantsystemen gecontroleerd. Alle tests zijn negatief en bevestigen dat onze relaties geen onderdeel van de hack lijken te zijn. 

Rondom de beloofde patch om servers weer op te kunnen starten is geen nieuws. En daarom blijven onze Kaseya servers uitgeschakeld. 

Zondag 4 juli - 08.00 uur 
Afgelopen nacht hebben we een korte update van Kaseya ontvangen. Op alle fronten wordt nog steeds hard gewerkt om de aanleiding en impact van de hack definitief vast te stellen. Er komt software beschikbaar waarmee wij de systemen nogmaals kunnen analyseren. Wij hebben deze tool aangevraagd en houden u op de hoogte over de voortgang.  

Ook werkt Kaseya onverminderd aan een patch om servers weer op te kunnen starten. Hiervoor is nog geen tijdspad afgegeven. Daarom volgen wij onverminderd het advies; We houden onze Kaseya servers uitgeschakeld. Het risico op verdere uitbreiding is hierdoor volgens Kaseya nihil. 

Zaterdag 3 juli 2021 – 20.46 uur 
Iedere paar uur krijgen wij van Kaseya een update rondom de gang van zaken. In hun laatste bericht melden ze met externe partijen samen te werken om definitief te bepalen of de bedreigingen zijn afgewend. En ook bezig te zijn om te identificeren welke systemen en gegevens zijn gebruikt.  
 
Tegelijkertijd wordt er gewerkt aan een softwarepatch en een tool waarmee gebruikers zelf kunnen bepalen of systemen getroffen zijn. Kaseya geeft nog geen tijdschema vrij en zal geen aanpassingen uitbrengen voordat deze uitgebreid zijn gevalideerd en getest. 
 
Voor nu betekent dit geen verandering in de situatie en houden wij onze Kaseya servers -op nadrukkelijk advies- uitgeschakeld. 

Zaterdag 3 juli 2021, 17.39 uur
We hebben verder onderzoek gedaan. Het is nog duidelijker geworden dat wij geen onderdeel zijn van geworden van de aanval. Het advies is nog steeds om de servers uit te laten. Kayesa werkt aan een update.

 

 

 

 

 

Heeft u vragen? Neem dan alstublieft contact op via ons algemene telefoonnummer 0184-675 400 of stuur een mail naar info@aspect-ict.nl.

 

 

Neem contact met ons op

Het begint met een goed advies!

Heeft u vragen over ICT? Ik help u graag verder!

arrow right small Bezoek ons

De nieuwsbrief ontvangen?

Meld u dan aan voor onze maandelijkse nieuwsbrief en blijft op de hoogte van het ICT-nieuws!

{{ errors.first("field_24") }}
{{ errors.first("field_25") }}
{{ errors.first("privacy") }}
Connections