Szacuje się, że w wyniku cyberataku w ubiegły piątek, którego celem była firma Kaseya – dostawca oprogramowania do zarządzania IT – ucierpiało ponad 1000 firm, w tym co najmniej 30 dostawców usług zarządzanych MSP.

Wykorzystująca oprogramowanie ransomware rosyjskojęzyczna grupa REvil, która według FBI stała za niedawnym atakiem na firmę przetwórstwa mięsnego JBS, przyznała się do tej akcji i poinformowała, że zainfekowanych zostało ponad milion systemów. W poście opublikowanym w darknecie zażądała 70 mln dolarów w bitcoinach za dostarczenie ofiarom ataku „uniwersalnego deszyfratora”.

„Rozwiązanie VSA firmy Kaseya padło niestety ofiarą wyrafinowanego cyberataku” – stwierdził producent w swoim oświadczeniu. „Za sprawą szybkiej reakcji naszych zespołów uważamy, że dotyczy to tylko niewielkiej liczby użytkowników on-premise”. Niedługo po ataku Kaseya poinformowała też, że „zidentyfikowała źródło luki” i przeszła „od analizy przyczyn i łagodzenia skutków” do wdrażania „planu odzyskiwania usług”.

Mimo deklaracji, że klienci on-premise byli jedynymi, których dotyczyły ataki, producent radzi, by nie tylko wszyscy użytkownicy serwerów lokalnych VSA pozostawili je wyłączone, ale także by serwery SaaS pozostały – na wszelki wypadek – offline.

Oprogramowanie VSA firmy Kaseya jest używane przez dostawców usług MSP do monitorowania sieci swoich klientów. Zajmująca się cyberbezpieczeństwem firma Huntress, która prowadzi dotyczące ataku śledztwo, twierdzi, że posłużył on „do zaszyfrowania ponad 1000 firm”. Dodając, że „ma dużą pewność, że w celu uzyskania dostępu do tych serwerów użyto obejścia procesu uwierzytelniania”.