Zu guter Letzt: Kaseya stellt VSA-Dienste wieder her, die nach Ransomware-Streit auf Eis gelegt wurden

  • Es ist derzeit unklar, welche spezifischen MSPs (und welche ihrer Serverräume) von einem Angriff auf die VSA Unified Remote Monitoring & Management Software von Kaseya betroffen sind. (Serverraum, fotografiert von Acirmandello/CC BY-SA 4.0)

    Kaseya hat am Sonntag den lang erwarteten Patch für die On-Premises-Versionen seiner VSA-Remote-Monitoring- und Management-Software veröffentlicht und mit dem Rollout der Software-of-a-Service-Version des Tools begonnen.

    Vor neun Tagen, als eine Flut von Ransomware auftrat, riet das Unternehmen den VSA-Anwendern vor Ort, ihre Systeme abzuschalten. Kaseya hat seine SaaS-Version als Vorsichtsmaßnahme schnell abgeschaltet, obwohl keine Hackerangriffe bekannt sind, die vom SaaS-Produkt ausgehen. VSA war seit dem Wochenende des vierten Juli offline und ließ Kunden – vor allem Managed Service Provider – ohne geschäftskritische Software zurück.

    “Die Wiederherstellung unserer VSA SaaS-Infrastruktur hat begonnen. Wir werden E-Mail-Benachrichtigungen senden, sobald die einzelnen Instanzen in den nächsten Stunden wieder online sind”, schrieb Kaseya in seinem Blog.

    Die Ransomware wurde von einem Mitglied der REvil-Gruppe installiert und nutzte eine Kette von Schwachstellen in der VSA-Software, darunter eine Umgehung der Authentifizierung und eine SQL-Injection.

    Laut John Hammond, Forscher bei Huntress Labs, scheint der On-Premises-Patch zu funktionieren. Huntress war eine der ersten Gruppen, die den bei dem Angriff verwendeten Vektor beschrieben hat, und eine der ersten Gruppen, die den Angriff beschrieben hat, als er bereits im Gange war.

    “Mit der Installation dieses Patches schlägt unser früherer Proof-of-Concept-Exploit nun fehl – und wir glauben, dass der Angriffsvektor nicht mehr vorhanden ist”, sagte er per E-Mail.

    Kaseya kündigte letzte Woche an, dass es “Millionen” Dollar für die Subventionierung von Kunden ausgeben würde, die von den Sicherheitsverletzungen betroffen sind, und dass es für diejenigen, die es benötigen, unterschiedliche Abonnements zahlen würde.

    Das Unternehmen hat erklärt, dass es glaubt, dass insgesamt zwischen 50 und 60 Kunden Opfer des REvil-Ausbruchs waren, aber mit einem großen MSP-Kundenstamm geht Kaseya davon aus, dass letztlich etwa 1500 Unternehmen insgesamt infiziert wurden.

    Kaseya veröffentlichte Wiederanlaufanleitungen sowohl für seine SaaS- als auch für seine On-Premises-VSA-Produkte. Das Unternehmen warnte außerdem wiederholt davor, dass jede E-Mail, die Kaseya VSA-Kriminelle in Lösegeldverhandlungen mit Links versehen haben, die angeblich einen Patch enthalten oder zu einem Patch verlinken, betrügerisch ist, und dass Kunden den Patch über die reguläre KINSTALL-Methode beziehen sollten, nachdem sie ihre Anleitung zur Härtung vor der Installation befolgt haben.

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com