Het Amerikaanse bedrijf Kaseya maakt het beheerprogramma VSA, dat IT-bedrijven zoals wij gebruiken om IT-netwerken van onze klanten te kunnen monitoren. De aanvallers hebben een lek in de VSA-software gebruikt om systemen van klanten met ransomware te infecteren. Zo hebben ze bedrijfskritische onderdelen op slot weten te zetten om vervolgens losgeld te kunnen vragen. VSA wordt wereldwijd gebruikt.
Deze pagina houdt een tijdlijn bij van activiteiten die wij hebben uitgevoerd om de veiligheid te borgen.
Vrijdagavond 2 juli 2021
| 21.35 uur | We onderscheppen meerdere berichten over Kaseya waarin het lijkt dat ze gehackt zijn, of in ieder geval een deel van de klantservers. Op dringend advies schakelen we de VSA-servers direct uit. |
| 23.13 uur | We overleggen wat het gevolg voor ons is en of we direct acties moeten uitvoeren en besluiten monitoring op ons datacenter uit te breiden en onze collega’s geïnformeerd wat er gaande is. Op basis van de op dit moment beschikbare informatie zijn er nog een aantal checks uitgevoerd om er zeker van te zijn dat onze server en die van de klanten niet besmet zijn. |
Zaterdag 3 juli
| 09.00 uur | We laten voorlopig de servers uit en wachten op een update vanuit Kaseya. Deze wordt pas vanmiddag om 15.00 uur Nederlandse tijd verwacht. Kort daarna hebben we overleg over de vervolgacties en klantinformatie. |
| 16.59 uur | Kaseya komt met een update op hun supportportal. Ze zijn druk om de SaaS en hosted VSA-servers (in de cloud) weer veilig up en running te krijgen. Het advies blijft om de on-premise VSA-servers (niet in de cloud) uitgeschakeld te laten tot nader order. |
| 18.00 uur | Alerte klanten die contact met ons opnamen hebben we direct geïnformeerd. De eerste update over deze aanval en wat het in de praktijk betekent gaat uit naar al onze klanten. |
Zondag 4 juli
De omvang wordt steeds duidelijker. In Nederland komt het nieuws binnen over de 800 winkels die het Zweedse COOP moet sluiten als gevolg van een cyberaanval die de kassa’s plat heeft weten te leggen. Berichten over andere bedrijven volgen elkaar op, ook in Nederland. De link naar Kaseya is ondertussen gelegd, De Russische hackersgroep REvil eist 70 miljoen dollar in Bitcoins.
Opmerkelijk is het feit dat het Dutch Institute for Vulnerability Disclosure (DIVD), een groep ethische hackers uit Nederland, met Kaseya bezig is geweest om samen eventuele lekken in hun software te onderzoeken.
| 12.10 uur | Er is een detection tool beschikbaar gesteld waarmee zowel de VSA-server als de endpoints (devices gebruikers) gecontroleerd kunnen worden. Deze bevestigt dat we niet geraakt zijn. Het wachten is nu op de beveiligingspatch van Kaseya die de server kan beschermen zodat we hem weer kunnen activeren. |
| 17.55 uur | Omdat morgen de werkweek weer begint en er niets substantieel veranderd is sturen we onze klanten een tweede update. Het hele weekend hebben we berichtgevingen over mogelijke ontwikkelingen in de gaten gehouden en geacteerd waar nodig. |
Maandag 5 juli
| 07.48 uur | Kaseya laat weten nog geen patch beschikbaar te hebben en dat we later op de dag geïnformeerd gaan worden. Ondertussen staat onze VSA-server nog uit en kunnen wij een deel van ons werk niet doen zoals gewenst. We bespreken een procedure om onze klanten toch goed te kunnen helpen. |
| In de middag | Het lijkt erop dat Kaseya een oplossing heeft gevonden voor de SaaS-omgeving en dat ze begonnen zijn deze online te zetten. De volgende stap zal dan de patch zijn. Gelukkig ervaren wij tot op heden geen problemen in onze dienstverlening. |
| 17.22 uur | In de derde update moeten we onze klanten helaas vertellen dat we nog steeds in afwachting zijn van de software update van Kaseya. |
Dinsdag 6 juli
Het online brengen van de SaaS-omgeving van Kaseya is vertraagd. Dat rest vertraagt mee. Dit hebben we in een vierde update onze klanten laten weten.
Woensdag 7 juli
Het online brengen van de SaaS-omgeving is mislukt. Zicht op een patch op korte termijn komt daarmee te vervallen. We hebben dit vandaag, hoe vervelend ook, in een vijfde update aan onze klanten uitgelegd.
Donderdag 8 juli
Vandaag laat Kaseya weten dat ze besloten hebben om zowel het online brengen van hun eigen datacenters, als het uitbrengen van de software update die wij nodig hebben, uit te stellen naar zondag 11-7. Tot die tijd voeren we een lijst van acties door die nodig zijn om de update uit te kunnen voeren. Daarnaast treffen we extra maatregelen die moeten voorkomen dat we door externe invloeden geraakt kunnen worden. Deze maatregelen beperken weliswaar de functionaliteit van Kaseya, maar de veiligheid van onze omgeving gaat voor. Deze informatie is in een zesde update naar onze klanten verstuurd.
Maandag 12 juli
De software update is opgeleverd en bijna overal toegepast. Het plan is om morgen gefaseerd in productie te gaan. We starten bij onszelf en voeren we de patch ook door op de klantomgevingen wanneer we zeker weten dat het stabiel is.
Woensdag 14 juli
De afgelopen 24 uur is onze Kaseya-omgeving stabiel gebleken en veilig bevonden. Om die reden zijn we vandaag gestart met het live zetten van een deel van onze klanten in onze geïsoleerde Kaseya-omgeving. Stap voor stap, zodat we elke omgeving goed kunnen controleren voordat we naar de volgende overgaan.
We verwachten dat voor komend weekend, waarin ook de normale patching staat gepland, alle omgevingen weer geactiveerd zullen zijn.
Wanneer er meer nieuws is zullen we dat aan deze tijdlijn toevoegen.
Vrijdagavond 2 juli 2021
| 21.35 uur | We onderscheppen meerdere berichten over Kaseya waarin het lijkt dat ze gehackt zijn, of in ieder geval een deel van de klantservers. Op dringend advies schakelen we de VSA-servers direct uit. |
| 23.13 uur | We overleggen wat het gevolg voor ons is en of we direct acties moeten uitvoeren en besluiten monitoring op ons datacenter uit te breiden en onze collega’s geïnformeerd wat er gaande is. Op basis van de op dit moment beschikbare informatie zijn er nog een aantal checks uitgevoerd om er zeker van te zijn dat onze server en die van de klanten niet besmet zijn. |
Zaterdag 3 juli
| 09.00 uur | We laten voorlopig de servers uit en wachten op een update vanuit Kaseya. Deze wordt pas vanmiddag om 15.00 uur Nederlandse tijd verwacht. Kort daarna hebben we overleg over de vervolgacties en klantinformatie. |
| 16.59 uur | Kaseya komt met een update op hun supportportal. Ze zijn druk om de SaaS en hosted VSA-servers (in de cloud) weer veilig up en running te krijgen. Het advies blijft om de on-premise VSA-servers (niet in de cloud) uitgeschakeld te laten tot nader order. |
| 18.00 uur | Alerte klanten die contact met ons opnamen hebben we direct geïnformeerd. De eerste update over deze aanval en wat het in de praktijk betekent gaat uit naar al onze klanten. |
Zondag 4 juli
De omvang wordt steeds duidelijker. In Nederland komt het nieuws binnen over de 800 winkels die het Zweedse COOP moet sluiten als gevolg van een cyberaanval die de kassa’s plat heeft weten te leggen. Berichten over andere bedrijven volgen elkaar op, ook in Nederland. De link naar Kaseya is ondertussen gelegd, De Russische hackersgroep REvil eist 70 miljoen dollar in Bitcoins.
Opmerkelijk is het feit dat het Dutch Institute for Vulnerability Disclosure (DIVD), een groep ethische hackers uit Nederland, met Kaseya bezig is geweest om samen eventuele lekken in hun software te onderzoeken.
| 12.10 uur | Er is een detection tool beschikbaar gesteld waarmee zowel de VSA-server als de endpoints (devices gebruikers) gecontroleerd kunnen worden. Deze bevestigt dat we niet geraakt zijn. Het wachten is nu op de beveiligingspatch van Kaseya die de server kan beschermen zodat we hem weer kunnen activeren. |
| 17.55 uur | Omdat morgen de werkweek weer begint en er niets substantieel veranderd is sturen we onze klanten een tweede update. Het hele weekend hebben we berichtgevingen over mogelijke ontwikkelingen in de gaten gehouden en geacteerd waar nodig. |
Maandag 5 juli
| 07.48 uur | Kaseya laat weten nog geen patch beschikbaar te hebben en dat we later op de dag geïnformeerd gaan worden. Ondertussen staat onze VSA-server nog uit en kunnen wij een deel van ons werk niet doen zoals gewenst. We bespreken een procedure om onze klanten toch goed te kunnen helpen. |
| In de middag | Het lijkt erop dat Kaseya een oplossing heeft gevonden voor de SaaS-omgeving en dat ze begonnen zijn deze online te zetten. De volgende stap zal dan de patch zijn. Gelukkig ervaren wij tot op heden geen problemen in onze dienstverlening. |
| 17.22 uur | In de derde update moeten we onze klanten helaas vertellen dat we nog steeds in afwachting zijn van de software update van Kaseya. |
Dinsdag 6 juli
Het online brengen van de SaaS-omgeving van Kaseya is vertraagd. Dat rest vertraagt mee. Dit hebben we in een vierde update onze klanten laten weten.
Woensdag 7 juli
Het online brengen van de SaaS-omgeving is mislukt. Zicht op een patch op korte termijn komt daarmee te vervallen. We hebben dit vandaag, hoe vervelend ook, in een vijfde update aan onze klanten uitgelegd.
Donderdag 8 juli
Vandaag laat Kaseya weten dat ze besloten hebben om zowel het online brengen van hun eigen datacenters, als het uitbrengen van de software update die wij nodig hebben, uit te stellen naar zondag 11-7. Tot die tijd voeren we een lijst van acties door die nodig zijn om de update uit te kunnen voeren. Daarnaast treffen we extra maatregelen die moeten voorkomen dat we door externe invloeden geraakt kunnen worden. Deze maatregelen beperken weliswaar de functionaliteit van Kaseya, maar de veiligheid van onze omgeving gaat voor. Deze informatie is in een zesde update naar onze klanten verstuurd.
Maandag 12 juli
De software update is opgeleverd en bijna overal toegepast. Het plan is om morgen gefaseerd in productie te gaan. We starten bij onszelf en voeren we de patch ook door op de klantomgevingen wanneer we zeker weten dat het stabiel is.
Woensdag 14 juli
De afgelopen 24 uur is onze Kaseya-omgeving stabiel gebleken en veilig bevonden. Om die reden zijn we vandaag gestart met het live zetten van een deel van onze klanten in onze geïsoleerde Kaseya-omgeving. Stap voor stap, zodat we elke omgeving goed kunnen controleren voordat we naar de volgende overgaan.
We verwachten dat voor komend weekend, waarin ook de normale patching staat gepland, alle omgevingen weer geactiveerd zullen zijn.
Wanneer er meer nieuws is zullen we dat aan deze tijdlijn toevoegen.
