Während des gesamten vergangenen Wochenendes haben das Incident Response Team von Kaseya und die Partner von Emsisoft ihre Arbeit fortgesetzt, um unseren Kunden und anderen bei der Wiederherstellung ihrer verschlüsselten Daten zu helfen. Wir stellen den Decryptor weiterhin allen Kunden zur Verfügung, die ihn anfordern, und empfehlen allen Kunden, deren Daten während des Angriffs verschlüsselt worden sein könnten, sich an ihre Ansprechpartner bei Kaseya zu wenden. Das Entschlüsselungstool hat sich bei der Entschlüsselung von Dateien, die während des Angriffs vollständig verschlüsselt wurden, als zu 100 % wirksam erwiesen.

Kaseya hat sich weiterhin darauf konzentriert, seinen Kunden zu helfen, und als Kaseya letzte Woche den Entschlüsseler erhielt, haben wir so schnell wie möglich gehandelt, um unseren Kunden mit Hilfe des Entschlüsslers dabei zu helfen, ihre verschlüsselten Daten wiederherzustellen. Jüngste Berichte deuten darauf hin, dass unser anhaltendes Schweigen darüber, ob Kaseya das Lösegeld gezahlt hat, zu weiteren Ransomware-Angriffen ermutigen könnte, aber nichts könnte weiter von unserem Ziel entfernt sein. Jedes Unternehmen muss selbst entscheiden, ob es das Lösegeld zahlen will. Kaseya hat sich nach Rücksprache mit Experten dafür entschieden, nicht mit den Tätern zu verhandeln, und wir sind von dieser Entscheidung nicht abgewichen. Wir bestätigen daher unmissverständlich, dass Kaseya weder direkt noch indirekt über Dritte Lösegeld gezahlt hat, um den Entschlüsseler zu erhalten.

Das Incident Response Team von Kaseya stellt unseren Kunden mit Unterstützung von Emsisoft weiterhin den Entschlüsselungscode zur Verfügung und hilft ihnen dabei, verschlüsselte Daten wiederherzustellen, die zuvor nicht aus dem Backup wiederhergestellt werden konnten. Uns liegen keine Berichte über Probleme oder Schwierigkeiten mit dem Entschlüsselungsprogramm vor.

Kaseya hat einen universellen Entschlüsselungsschlüssel erhalten.

Am 21.07.2021 hat Kaseya einen Entschlüsseler für die Opfer des REvil-Ransomware-Angriffs erhalten, und wir arbeiten daran, die von dem Vorfall betroffenen Kunden zu entschädigen.

Wir können bestätigen, dass Kaseya das Tool von einem Drittanbieter bezogen hat und Teams aktiv dabei sind, den von der Ransomware betroffenen Kunden bei der Wiederherstellung ihrer Umgebungen zu helfen. Bislang liegen keine Berichte über Probleme oder Schwierigkeiten im Zusammenhang mit dem Entschlüsselungsprogramm vor. Kaseya arbeitet mit Emsisoft zusammen, um unsere Bemühungen zur Kundenbetreuung zu unterstützen, und Emsisoft hat bestätigt, dass der Schlüssel zum Entsperren der Opfer wirksam ist.

Wir sind weiterhin bestrebt, unseren Kunden ein Höchstmaß an Sicherheit zu gewährleisten, und werden diese Seite aktualisieren, sobald weitere Details bekannt werden.

Kunden, die von der Ransomware betroffen sind, werden von Vertretern von Kaseya kontaktiert.

VSA 9.5.7.3011 Wartungs-Patch-Release-Update

Kaseya veröffentlicht Patch 9.5.7.3011, der Funktionsprobleme behebt, die durch die verbesserten Sicherheitsmaßnahmen verursacht wurden, und Fehlerbehebungen enthält (dies ist keine Sicherheitsversion). Die vollständigen Versionshinweise mit den Fehlerbehebungen finden Sie unter: https://helpdesk.kaseya.com/hc/en-gb/articles/4404146456209.

VSA SaaS-Update

Die erste VSA-SaaS-Bereitstellung wurde am Samstag, dem 17. Juli (US-Ostküstenzeit), für die folgenden VSA-SaaS-Instanzen live geschaltet: EU – SAAS03, EU – SAAS06, EU – SAAS11, EU – SAAS12, EU – SAAS16, EU – SAAS23, EU – SAAS24, EU – SAAS25, EU – SAAS28, EU – SAAS34, EU – SAAS39, EU – SAAS41 ,EU – SAAS43, US – NA1VSA01, US – NA1VSA04, US – NA1VSA08, US – NA1VSA12, US – NA1VSA14, US – NA1VSA22, US – NA1VSA28, US – NA1VSA29, US – NA1VSA30, US – NA1VSA32, US – NA1VSA37, NA1VSA105, US – NA1VSA108, US – NA1VSA115, US – IAD2VSA02, US – IAD2VSA04

Die restlichen VSA-SaaS-Instanzen werden heute Abend (19. Juli) um 20 Uhr und um 4 Uhr morgens US-Ostküstenzeit aktualisiert.

VSA-Update vor Ort:

Der VSA On-Premises Patch wird heute bis 16:30 Uhr US-Ostküstenzeit für Kunden freigegeben und auf der Download-Seite veröffentlicht.

VSA 9.5.7.3011 Wartungs-Patch-Release-Update

Kaseya wird den Patch 9.5.7.3011 veröffentlichen, der durch die erweiterten Sicherheitsmaßnahmen verursachte Funktionsprobleme behebt und Fehlerbehebungen enthält (dies ist keine Sicherheitsversion). (Dies ist kein ein Sicherheitsrelease). Die vollständigen Release Notes mit den Korrekturen finden Sie unter: https://helpdesk.kaseya.com/hc/en-gb/articles/4404146456209.

Der Patch soll für VSA On-Premises-Kunden bis Montag,^{den 19.} Juli, zum Ende des Tages verfügbar sein.

Die erste VSA-SaaS-Bereitstellung ist für Samstag,^{den 17.} Juli, zwischen 7:00 und 11:00 Uhr US-Ostküstenzeit für die folgenden VSA-SaaS-Instanzen geplant: EU – SAAS03, EU – SAAS06, EU – SAAS11, EU – SAAS12, EU – SAAS16, EU – SAAS23, EU – SAAS24, EU – SAAS25, EU – SAAS28, EU – SAAS34, EU – SAAS39, EU – SAAS41 ,EU – SAAS43, US – NA1VSA01, US – NA1VSA04, US – NA1VSA08, US – NA1VSA12, US – NA1VSA14, US – NA1VSA22, US – NA1VSA28, US – NA1VSA29, US – NA1VSA30, US – NA1VSA32, US – NA1VSA37, NA1VSA105, US – NA1VSA108, US – NA1VSA115, US – IAD2VSA02, US – IAD2VSA04

Die übrigen VSA-SaaS-Instanzen sollen am Montag,^{dem 19.} Juli, zwischen 20:00 Uhr und 4:00 Uhr US-Ostküstenzeit bereitgestellt werden.

VSA-Installationspatch-Prüfung

Wenn Sie den Kinstall-Patch auf Ihrem VSA ausführen und sich für eine Neuinstallation des VSA entschieden haben und entweder die Standardoption zur Installation des neuesten Patches deaktiviert oder den Vorgang „VSA neu installieren“ ein^zweitesMal ohne Auswahl der Option „Patch installieren“ ausgeführt haben, wurde Ihr Patch möglicherweise nicht erneut angewendet.

Obwohl dies seltene Ausnahmefälle sind, empfehlen wir Ihnen, zu überprüfen, ob der neueste Patch ordnungsgemäß installiert wurde. Wir haben ein Tool entwickelt, mit dem Sie sicherstellen können, dass der Patch ordnungsgemäß installiert wurde.

Laden Sie das Verifizierungstool herunter unter: https://app.box.com/s/5kqsbdj9aajezsc63jzaadpka5esk1v8

VSA-Update:

Wie im vorherigen Update angekündigt, haben wir den Patch für VSA On-Premises-Kunden veröffentlicht und vor dem angestrebten Zeitpunkt um 16:00 Uhr mit der Bereitstellung in unserer VSA SaaS-Infrastruktur begonnen. Die Wiederherstellung der Dienste verläuft planmäßig: 60 % unserer SaaS-Kunden sind bereits wieder online, und die Server für die übrigen Kunden werden in den nächsten Stunden wieder in Betrieb genommen. Unsere Support-Teams arbeiten mit VSA On-Premises-Kunden zusammen, die Unterstützung bei der Installation des Patches angefordert haben.

Wir werden den ganzen Abend über weiterhin Updates zum Fortschritt der Patch-Einführung und zum Serverstatus veröffentlichen.

Die technischen Teams und ihre Partner haben rund um die Uhr daran gearbeitet, den betroffenen Kunden zu helfen, den Betrieb wieder aufzunehmen. CTO Dan Timpson spricht über die Agentur, der Reaktion auf Vorfälle und den Forschungspartnern , die die internen Teams von Kaseya dabei unterstützen, vor der Inbetriebnahme ein Höchstmaß an Sicherheit zu gewährleisten, und erläutert die Schritte, die Kaseya unternimmt, um sicherzustellen, dass seine VSA-Kunden wieder sicher online gehen können. Er erörtert außerdem die begrenzten Auswirkungen auf VSA innerhalb der IT Complete und das absichtlich kompartimentierte Design , das sicherstelltdie Sicherheit der verbleibenden 26 Module mitauf der Plattform. 

Heute früh haben wir einen Videobeitrag unseres CEO veröffentlicht, in dem er den Zeitplan für die Einführung des Patches wie folgt aktualisiert:

Für unsere VSA On-Premises-Kunden haben wir nun ein Runbook mit den Änderungen veröffentlicht, die Sie an Ihrer lokalen Umgebung vornehmen müssen, damit Sie sich auf die Veröffentlichung des Patches vorbereiten können. Hier ist der Link zum Runbook(https://helpdesk.kaseya.com/hc/en-gb/articles/4403709150993). 

Wir sind gerade dabei, die Zeitpläne für die Bereitstellung von VSA SaaS und VSA On-Premises neu festzulegen. Wir entschuldigen uns für die Verzögerung und die Änderungen an den Plänen, während wir diese sich ständig ändernde Situation bewältigen.

Wir werden heute Abend ein Video-Update unseres CEO veröffentlichen, das per E-Mail an VSA-Kunden verschickt wird und weitere Informationen enthält.

Das detaillierte Runbook zur Vorbereitung einer On-Premise-VSA-Implementierung für die neue Version wird derzeit fertiggestellt. Dieses Runbook wird Ihnen per E-Mail zugeschickt und auf unserer Support-Website veröffentlicht.   

Das Runbook besteht aus folgenden Teilen:  

• Schritte zum Isolieren des VSA-Servers vom Netzwerk und vom Internet 
  • So führen Sie das Erkennungstool aus  
    • Der Link zum Erkennungstool befindet sich unten als Teil früherer Updates. 
• Schritte zum Patchen Ihres Betriebssystems, um sicherzustellen, dass es auf dem neuesten Stand ist 
• Detaillierte Überprüfung der erforderlichen Änderungen an IIS  
• So laden Sie den FireEye-Agenten auf den VSA-Server herunter 
• So implementieren Sie den FireEye-Agenten auf dem VSA-Server 
• Abschließende Überprüfung der Checkliste vor der Installation der neuen VSA-Version 

Das nächste Update für On-Premise-VSA-Kunden ist für heute Abend um 18 Uhr geplant. Dieses Update enthält den Zeitplan für die neue VSA-Version für On-Premise-VSA-Kunden. 

Wie in unserem letzten Update mitgeteilt, wurde während der Bereitstellung des VSA-Updates leider ein Problem entdeckt, das die Veröffentlichung blockiert hat. Wir konnten das Problem noch nicht beheben. Die Forschungs- und Entwicklungs- sowie die Betriebsteams haben die ganze Nacht durchgearbeitet und werden so lange weiterarbeiten, bis wir die Veröffentlichung freigeben können. Wir werden um 12:00 Uhr US-Ostküstenzeit ein Status-Update bereitstellen.

Während der Bereitstellung von VSA SaaS wurde ein Problem entdeckt, das die Freigabe blockiert hat. Leider wird die Einführung von VSA SaaS nicht innerhalb des zuvor kommunizierten Zeitplans abgeschlossen werden können. Wir entschuldigen uns für die Verzögerung. Die Forschungs- und Entwicklungsabteilung sowie der Betrieb arbeiten weiterhin rund um die Uhr daran, dieses Problem zu beheben und den Dienst wiederherzustellen. Wir werden um 8 Uhr morgens US-Ostküstenzeit ein Status-Update bereitstellen.

Das VSA-Produkt von Kaseya ist leider Opfer eines ausgeklügelten Cyberangriffs geworden. Dank die schnelle Reaktion unserer Teams glauben wir, dass dieser Angriff auf eine sehr kleine Anzahl von Kunden vor Ort beschränkt warVor-Ort-Kunden  

Unsere Teams für Sicherheit,support, Forschung und Entwicklung, Kommunikation und Kundendienst arbeiten weiterhin rund um die Uhr in allen Regionen daran, das Problem zu beheben und unseren Kunden den Dienst wieder zur Verfügung zu stellen. 

Dieses Update enthält weitere Details zum 6. Juli 2021 5:00 Uhr EDT und früheren Updates.    

• Die technischen Arbeiten für die SaaS-Bereitstellung haben um 16:00 Uhr EDT begonnen und werden in den nächsten Stunden fortgesetzt, sofern keine Probleme auftreten.     
• Wir konfigurieren eine zusätzliche Sicherheitsebene für unsere SaaS-Infrastruktur, wodurch sich die zugrunde liegende IP-Adresse unserer VSA-Server ändert (die Domainnamen/URLs bleiben unverändert). Für fast alle Kunden wird diese Änderung transparent sein.  Nur wenn Sie Ihren Kaseya VSA-Server in Ihrer Firewall auf die Whitelist gesetzt haben, müssen Sie die IP-Whitelist aktualisieren. Die neuen IP-Adressen finden Sie unter: https://www.cloudflare.com/ips/ 
• Um 19:30 Uhr sind keine SaaS-VSA-Dienste online. Die verbesserten Sicherheitsmaßnahmen werden derzeit implementiert und auf ordnungsgemäße Funktion überprüft.  Sobald sie betriebsbereit sind, werden wir den Zeitplan für die Verfügbarkeit von VSA veröffentlichen.   Wir werden die Support-Webseite stündlich unter https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689 
• Unsere Zeitvorgabe für On-Premises-Patches beträgt 24 Stunden (oder weniger) ab der Wiederherstellung der SaaS-Dienste. Wir sind bestrebt, diesen Zeitrahmen so weit wie möglich zu verkürzen. Sollten jedoch während des Hochfahrens von SaaS Probleme auftreten, möchten wir diese beheben, bevor wir unsere On-Premises-Kunden wieder online schalten. 

Fortgesetzte Beratung 

• Alle lokalen VSA-Server sollten weiterhin offline bleiben, bis Kaseya weitere Anweisungen dazu gibt, wann der Betrieb wieder sicher aufgenommen werden kann. Vor dem Neustart des VSA muss ein Patch installiert werden, und es werden eine Reihe von Empfehlungen zur Verbesserung Ihrer Sicherheitslage gegeben. 
• Unsere externen Experten raten uns, dass Kunden, die von Ransomware betroffen sind und Nachrichten von den Angreifern erhalten, auf keinen Fall auf Links klicken sollten – diese könnten bösartig sein. 

Gute Fortschritte werden erzielt. Das nächste Update wird um 18:00 Uhr veröffentlicht.

Nächstes Update ist geplant für veröffentlicht veröffentlicht Juli 6. zwischen 2:00 UhrM und 5:00 Uhr EDT.

Das VSA-Produkt von Kaseya ist leider Opfer eines ausgeklügelten Cyberangriffs geworden. Dank der schnellen Reaktion unserer Teams glauben wir, dass dieser Angriff nur eine sehr kleine Anzahl von Kunden vor Ort betroffen hat.

Unsere Teams für Sicherheit, support, Forschung und Entwicklung, Kommunikation und Kundendienst arbeiten weiterhin rund um die Uhr in allen Regionen daran, das Problem zu beheben und unseren Kunden wieder einen reibungslosen Service zu bieten.

Dieses Update enthält weitere Details zu den Updates vom 5. Juli 2021 um 21:30 Uhr EDT und früheren Updates.

• Unser Zeitplan für die Inbetriebnahme der SaaS-Server hat sich um zwei Stunden verschoben – aufgrund von Konfigurationsänderungen und verbesserten Sicherheitsmaßnahmen ist dies nun am 6. Juli zwischen 16:00 Uhr EDT und 19:00 Uhr EDT.
• Unser Zeitplan für On-Premises-Patches sieht 24 Stunden (oder weniger) ab der Wiederherstellung der SaaS-Dienste vor. Wir sind bestrebt, diesen Zeitrahmen so weit wie möglich zu verkürzen. Sollten jedoch während des Hochfahrens von SaaS Probleme auftreten, möchten wir diese beheben, bevor wir unsere On-Premises-Kunden wieder online schalten.
• Die verbesserten Sicherheitsmaßnahmen, die online gestellt werden, sind:
  • Unabhängiges SOC rund um die Uhr für jeden VSA mit der Möglichkeit, Dateien und ganze VSA-Server unter Quarantäne zu stellen und zu isolieren.
  • Ein ergänzendes CDN mit WAF für jede VSA (einschließlich On-Premise-Lösungen, die sich dafür entscheiden und es nutzen möchten – Details dazu werden im Laufe des Nachmittags in einer Wissensdatenbank verfügbar sein).
  • Kunden, die IP-Adressen auf die Whitelist setzen, müssen zusätzliche IP-Adressen auf die Whitelist setzen.
  • Ein neuer KB-Artikel zu den Details von SOC, CDN und Whitelisting wird im Laufe des Nachmittags veröffentlicht und mit diesem KB auf der Kaseya-Website verlinkt.
  • Reduziert die Angriffsfläche von Kaseya VSA insgesamt erheblich.
• Im Laufe des Tages werden wir eine kundenfertige Erklärung veröffentlichen, die Sie verwenden können, um Ihre Kunden über den Vorfall und die von uns ergriffenen Sicherheitsmaßnahmen zu informieren.
• Ein Tool zur Erkennung von Kompromittierungen kann unter folgendem Link heruntergeladen werden: VSA Detection Tool | Powered by Box. Dieses Tool wird kontinuierlich weiterentwickelt. Die aktuellste Version finden Sie auf der Download-Seite.
• Aktuelles zum Vorfall – weitere Details finden Sie hier: Überblick über den Vorfall und technische Details – Kaseya
• Bis heute sind uns weniger als 60 Kaseya-Kunden bekannt, die alle das VSA-Produkt vor Ort einsetzten und direkt von diesem Angriff betroffen waren. Obwohl viele dieser Kunden IT-Dienstleistungen für mehrere andere Unternehmen erbringen, gehen wir davon aus, dass die Gesamtzahl der betroffenen Unternehmen bislang weniger als 1.500 beträgt.
• Wir haben keine Hinweise darauf gefunden, dass einer unserer SaaS-Kunden kompromittiert wurde.
• VSA ist das einzige Kaseya-Produkt, das von dem Angriff betroffen ist. Alle anderen IT Complete sind nicht betroffen.

Fortgesetzte Beratung

• Alle lokalen VSA-Server sollten weiterhin offline bleiben, bis Kaseya weitere Anweisungen dazu gibt, wann der Betrieb wieder sicher aufgenommen werden kann. Vor dem Neustart des VSA muss ein Patch installiert werden, und es gibt eine Reihe von Empfehlungen, wie Sie Ihre Sicherheitslage verbessern können.
• Unsere externen Experten haben uns darauf hingewiesen, dass Kunden, die Opfer von Ransomware geworden sind und Nachrichten von den Angreifern erhalten, auf keine Links klicken sollten, da diese mit Schadsoftware versehen sein könnten.

Das nächste Update soll^{am 6. Juli} zwischen 8:00 und 12:00 Uhr EDT veröffentlicht werden.  

Das VSA-Produkt von Kaseya ist leider Opfer eines ausgeklügelten Cyberangriffs geworden. Dank der schnellen Reaktion unserer Teams glauben wir, dass dieser Angriff nur eine sehr kleine Anzahl von Kunden vor Ort betroffen hat.

Unsere Teams für Sicherheit, support, Forschung und Entwicklung, Kommunikation und Kundendienst arbeiten weiterhin rund um die Uhr in allen Regionen daran, das Problem zu beheben und unseren Kunden wieder einen reibungslosen Service zu bieten.

Dieses Update enthält weitere Details zu den Updates vom 5. Juli 2021 um 13:00 Uhr EDT und früheren Updates.

• Aktuelles zum Vorfall
  • Um unseren Kunden gegenüber transparent zu sein, veröffentlicht Kaseya Informationen zum jüngsten Ransomware-Angriff in einem Dokument mit einer Übersicht über den Vorfall und technischen Details, das unter diesem Link verfügbar ist.
  • Bis heute sind uns weniger als 60 Kaseya-Kunden bekannt, die alle das VSA-Produkt vor Ort einsetzten und direkt von diesem Angriff betroffen waren. Obwohl viele dieser Kunden IT-Dienstleistungen für mehrere andere Unternehmen erbringen, gehen wir davon aus, dass die Gesamtzahl der betroffenen Unternehmen bislang weniger als 1.500 beträgt. Wir haben keine Hinweise darauf gefunden, dass SaaS-Kunden betroffen sind.
  • Seit Samstag,^{dem 3.} Juli, liegen uns keine neuen Meldungen über Kompromittierungen von VSA-Kunden vor.
  • VSA ist das einzige Kaseya-Produkt, das von dem Angriff betroffen ist. Alle anderen IT Complete sind nicht betroffen.
  • Ein Artikel von Reuters berichtet über den Vorfall – Link
• Unser Vorstand hat sich heute Nachmittag um 18:30 Uhr EDT getroffen, um den Zeitplan und den Ablauf für die Wiederherstellung der Online-Verbindung für unsere SaaS- und On-Premises-Kunden neu festzulegen.
  • Der Patch für On-Premises-Kunden wurde entwickelt und durchläuft derzeit den Test- und Validierungsprozess. Wir gehen davon aus, dass der Patch innerhalb von 24 Stunden nach Hochfahren unserer SaaS-Server verfügbar sein wird.
  • Die aktuelle Schätzung für die Wiederinbetriebnahme unserer SaaS-Server ist^{der 6.} Juli zwischen 14:00 und 17:00 Uhr EDT. Eine endgültige Entscheidung darüber, ob die Server wieder in Betrieb genommen werden, wird morgen früh zwischen 8:00 und 12:00 Uhr EDT getroffen. Diese Zeiten können sich ändern, während wir die letzten Test- und Validierungsprozesse durchlaufen.
• Wir werden VSA mit eingeschränkter Funktionalität veröffentlichen, um die Dienste schneller wieder online zu bringen. Die erste Version wird den Zugriff auf Funktionen verhindern, die nur von einem sehr kleinen Teil unserer Nutzerbasis verwendet werden, darunter:
  • Klassisches Ticketing
  • Klassische Fernbedienung (nicht LiveConnect).
  • Benutzerportal
• Kaseya hat sich heute Abend mit dem FBI/CISA getroffen, um die Anforderungen an die Absicherung von Systemen und Netzwerken vor der Wiederherstellung des Dienstes für SaaS- und On-Premises-Kunden zu besprechen. Eine Reihe von Anforderungen wird vor der Wiederaufnahme des Dienstes veröffentlicht, damit unsere Kunden Zeit haben, diese Gegenmaßnahmen umzusetzen, bevor der Dienst am^6. Juli wieder aufgenommen wird.
• Eine neue Version des Compromise Detection Tool kann unter folgendem Link heruntergeladen werden: VSA-Erkennungswerkzeuge.zip | Unterstützt von Box
  • Dieses Tool analysiert ein System (entweder einen VSA-Server oder einen verwalteten Endpunkt) und ermittelt, ob Anzeichen für eine Kompromittierung (Indicators of Compromise, IoC) vorliegen.
  • Die neueste Version sucht nach Anzeichen für eine Kompromittierung, Datenverschlüsselung und der Lösegeldforderung von REvil. Wir empfehlen Ihnen, diesen Vorgang erneut durchzuführen, um besser feststellen zu können, ob das System durch REvil kompromittiert wurde.
  • Seit Freitag haben über 2.000 Kunden dieses Tool heruntergeladen.

Fortgesetzte Beratung

• Alle lokalen VSA-Server sollten weiterhin offline bleiben, bis Kaseya weitere Anweisungen dazu gibt, wann der Betrieb wieder sicher aufgenommen werden kann. Vor dem Neustart des VSA muss ein Patch installiert werden, und es gibt eine Reihe von Empfehlungen, wie Sie Ihre Sicherheitslage verbessern können.
• Unsere externen Experten haben uns darauf hingewiesen, dass Kunden, die Opfer von Ransomware geworden sind und Nachrichten von den Angreifern erhalten, auf keinen Fall auf Links klicken sollten, da diese mit Schadsoftware verseucht sein könnten.

Das nächste Update soll^{am5. Juli} zwischen 17:00 Uhr und 19:00 Uhr bzw. 19:00 Uhr und 20:00 Uhr EDT veröffentlicht werden.

Das VSA-Produkt von Kaseya ist leider Opfer eines ausgeklügelten Cyberangriffs geworden. Dank der schnellen Reaktion unserer Teams glauben wir, dass dieser Angriff nur eine sehr kleine Anzahl von Kunden vor Ort betroffen hat.

Unsere Teams für Sicherheit, support, Forschung und Entwicklung, Kommunikation und Kundendienst arbeiten weiterhin rund um die Uhr in allen Regionen daran, das Problem zu beheben und unseren Kunden wieder einen reibungslosen Service zu bieten.

Dieses Update enthält weitere Details zu den Updates vom 4. Juli 2021 um 23:00 Uhr EDT und früheren Updates.

• Wir werden am Nachmittag des 5^. Juli ein separates Update mit weiteren technischen Details zu dem Vorfall veröffentlichen, um unseren Kunden und Sicherheitsforschern zu helfen.
• Aktualisierungen zum Zeitplan für die Wiederherstellung von SaaS – UPDATE
  • Unser Vorstand hat sich heute Morgen um 8:00 Uhr EDT getroffen und war der Meinung, dass mehr Zeit nötig ist, bevor wir die Rechenzentren wieder online nehmen, um das Risiko für unsere Kunden so gering wie möglich zu halten.
  • Sie beschlossen, sich heute Nachmittag um 15:00 Uhr EDT erneut zu treffen, um den Zeitplan für die Wiederherstellung unserer Rechenzentren festzulegen. Wir werden heute (^5. Juli) zwischen 17:00 und 19:00 Uhr EDT einen aktualisierten Zeitplan bekannt geben.
  • Wir sind gerade dabei, eine verbesserte Infrastruktur zur Sicherheitsüberwachung einzurichten und testen die überarbeiteten Prozesse zur Reaktion auf Vorfälle sowie die Kontrollen zum Leistungsmanagement, um einen akzeptablen Betrieb für unsere Kunden sicherzustellen.
  • Das nächste Update erfolgt heute Abend (EDT), nachdem sich der Vorstand erneut versammelt hat.
• Aktualisierungen des Zeitplans für lokale Patches – NEU
  • Wir entwickeln den neuen Patch für On-Premises-Kunden parallel zur Wiederherstellung des SaaS-Rechenzentrums. Wir führen die Bereitstellung zunächst in SaaS durch, da wir dort alle Aspekte der Umgebung kontrollieren können. Sobald damit begonnen wurde, werden wir den Zeitplan für die Verteilung des Patches für On-Premises-Kunden veröffentlichen.
• Das Tool zur Erkennung von Kompromittierungen kann unter folgendem Link heruntergeladen werden: VSA Detection Tools.zip | Powered by Box Dieses Tool analysiert ein System (entweder einen VSA-Server oder einen verwalteten Endpunkt) und ermittelt, ob Anzeichen für eine Kompromittierung (Indicators of Compromise, IoC) vorliegen.

Fortgesetzte Beratung

• Alle lokalen VSA-Server sollten weiterhin offline bleiben, bis Kaseya weitere Anweisungen dazu gibt, wann der Betrieb wieder sicher aufgenommen werden kann. Vor dem Neustart des VSA muss ein Patch installiert werden, und es gibt eine Reihe von Empfehlungen, wie Sie Ihre Sicherheitslage verbessern können.
• Unsere externen Experten haben uns darauf hingewiesen, dass Kunden, die Opfer von Ransomware geworden sind und Nachrichten von den Angreifern erhalten, auf keinen Fall auf Links klicken sollten, da diese mit Schadsoftware verseucht sein könnten.

Eine Überarbeitung dieses Updates wird im Laufe des Tages veröffentlicht. Bitte schauen Sie gegen 13:00 Uhr EDT erneut vorbei.

Das nächste Update soll^{am 5.} Juli morgens (EDT) veröffentlicht werden. Das Update wird auf der Support-Website von Kaseya.com (Link hier) veröffentlicht, bevor die E-Mail versendet wird. Über diesen Link können Sie am schnellsten sicherstellen, dass Sie über die neuesten Informationen von Kaseya verfügen.

Das VSA-Produkt von Kaseya ist leider Opfer eines ausgeklügelten Cyberangriffs geworden. Dank der schnellen Reaktion unserer Teams glauben wir, dass dieser Angriff nur eine sehr kleine Anzahl von Kunden vor Ort betroffen hat.

Unsere Teams für Sicherheit, support, Forschung und Entwicklung, Kommunikation und Kundendienst arbeiten weiterhin rund um die Uhr in allen Regionen daran, das Problem zu beheben und unseren Kunden wieder einen reibungslosen Service zu bieten.

Dieses Update enthält weitere Details zu den Updates vom 4. Juli 2021 um 17:45 Uhr EDT und früheren Updates.

• Aktualisierungen zum Zeitplan für die Wiederherstellung von SaaS – UPDATE
  • Unser Vorstand traf sich um 22:00 Uhr EDT und kam zu dem Schluss, dass mehr Zeit erforderlich sei, bevor wir die Rechenzentren wieder in Betrieb nehmen könnten, um das Risiko für unsere Kunden so gering wie möglich zu halten.
  • Sie beschlossen, sich morgen früh um 8:00 Uhr EDT erneut zu treffen, um den Zeitplan neu festzulegen, mit dem Ziel, den Wiederherstellungsprozess zu starten, damit unsere Rechenzentren bis zum Ende des Tages am^5. Juli Ortszeit (UTC) wieder online sind – dieser Zeitrahmen hängt jedoch davon ab, dass über Nacht einige wichtige Ziele erreicht werden.
  • Das nächste Update erfolgt morgen früh (EDT), nachdem sich der Vorstand erneut versammelt hat.
• Aktualisierungen des Zeitplans für lokale Patches – NEU
  • Sobald wir mit der Wiederherstellung des SaaS-Rechenzentrums begonnen haben (siehe oben „Aktualisierungen zum Zeitplan für die SaaS-Wiederherstellung“), werden wir den Zeitplan für die Verteilung des Patches für On-Premises-Kunden veröffentlichen.

Fortgesetzte Beratung

• Alle lokalen VSA-Server sollten weiterhin offline bleiben, bis Kaseya weitere Anweisungen dazu gibt, wann der Betrieb wieder sicher aufgenommen werden kann. Vor dem Neustart des VSA muss ein Patch installiert werden, und es gibt eine Reihe von Empfehlungen, wie Sie Ihre Sicherheitslage verbessern können.
• Unsere externen Experten haben uns darauf hingewiesen, dass Kunden, die Opfer von Ransomware geworden sind und Nachrichten von den Angreifern erhalten, auf keinen Fall auf Links klicken sollten, da diese mit Schadsoftware verseucht sein könnten.
• Das neue Tool zur Erkennung von Kompromittierungen kann unter folgendem Link heruntergeladen werden: VSA Detection Tools.zip Dieses Tool analysiert ein System (entweder einen VSA-Server oder einen verwalteten Endpunkt) und ermittelt, ob Indikatoren für Kompromittierungen (IoC) vorhanden sind.

Das nächste Update wird^{am 4.} Juli sehr spät am Abend (EDT) veröffentlicht. Über diesen Link erhalten Sie am schnellsten die neuesten Informationen von Kaseya.

Das VSA-Produkt von Kaseya ist leider Opfer eines ausgeklügelten Cyberangriffs geworden. Dank der schnellen Reaktion unserer Teams glauben wir, dass dieser Angriff nur eine sehr kleine Anzahl von Kunden vor Ort betroffen hat.

Unsere Teams für Sicherheit, support , Kommunikation und Kundendienst arbeiten weiterhin rund um die Uhr in allen Regionen daran, das Problem zu beheben und unseren Kunden wieder einen reibungslosen Service zu bieten.

Dieses Update enthält weitere Details zu den Updates vom 4. Juli 2021 um 10:00 Uhr EDT und früheren Updates.

Unsere Bemühungen haben sich von der Ursachenanalyse und der Minderung der Schwachstelle hin zur Umsetzung unseres recovery des Dienstes verlagert. Dieser Plan umfasst die folgenden Phasen:

• Kommunikation unseres stufenweisen recovery zunächst mit SaaS-Kunden, anschließend mit On-Premises-Kunden.
  • Im Sinne einer verantwortungsvollen Offenlegung wird Kaseya eine Zusammenfassung des Angriffs und der von uns ergriffenen Maßnahmen zu dessen Eindämmung veröffentlichen.
  • Einige selten genutzte ältere VSA-Funktionen werden im Rahmen dieser Version aus Gründen der Vorsicht entfernt. Eine detaillierte Liste der Funktionen und ihrer Auswirkungen auf die VSA-Fähigkeiten wird in den Versionshinweisen aufgeführt.
  • Es werden neue Sicherheitsmaßnahmen eingeführt, darunter eine verbesserte Sicherheitsüberwachung unserer SaaS-Server durch FireEye und die Aktivierung erweiterter WAF-Funktionen.
  • Wir haben erfolgreich einen externen Schwachstellen-Scan durchgeführt, unsere SaaS-Datenbanken auf Anzeichen einer Kompromittierung überprüft und unseren Code von externen Sicherheitsexperten überprüfen lassen, um einen erfolgreichen Neustart des Dienstes zu gewährleisten.

• Aktualisierungen zum Zeitplan für die Wiederherstellung von SaaS
  • Unser Vorstand wird am 5. Juli zusammentreten.^th um 5:00 Uhr UTC (12:00 Uhr EDT), um eine Entscheidung über die Bereitschaft zur Wiederaufnahme von SaaS innerhalb der folgenden Zeitfenster zu treffen:
    • Rechenzentren in der EU, Großbritannien und im asiatisch-pazifischen Raum: 5. Juli – 9:00 Uhr UTC – 13:00 Uhr UTC (4:00 Uhr EDT – 8:00 Uhr EDT)
    • Rechenzentren in Nordamerika: 5. Juli – 17:00 Uhr EDT – 22:00 Uhr EDT
  • Diese Zeiten/Termine können sich ändern. Um 1:00 Uhr UTC wird auf der Website ein Status-Update veröffentlicht, aus dem hervorgeht, ob wir uns an den oben genannten Zeitplan halten oder nicht. Ist dies nicht der Fall, veröffentlichen wir zu diesem Zeitpunkt einen überarbeiteten Zeitplan.

• Für unsere SaaS Users:
  • Wir werden unsere SaaS-Rechenzentren nacheinander wieder online schalten, beginnend mit unseren Rechenzentren in der EU, Großbritannien und im asiatisch-pazifischen Raum, gefolgt von unseren Rechenzentren in Nordamerika.
  • Wir werden unsere SaaS-Infrastruktur um eine zusätzliche Sicherheitsebene erweitern, wodurch sich die zugrunde liegenden IP-Adressen unserer VSA-Server ändern werden.

• Für unsere On-Premises Users
  • Wir arbeiten derzeit an der Entwicklung unserer On-Premises-Version, die wir unseren Kunden zur Verfügung stellen werden. Wir werden am 5. Juli mit der Kommunikation zum On-Premises-Release-Prozess beginnen.
  • Wir arbeiten derzeit an einem Programm, mit dem wir unsere neuen Sicherheitsmaßnahmen auf unsere On-Premises-Kunden ausweiten können. Die meisten Details hierzu werden vor der Veröffentlichung des On-Premises-Patches bekannt gegeben.

Fortgesetzte Beratung

• Alle lokalen VSA-Server sollten weiterhin offline bleiben, bis Kaseya weitere Anweisungen dazu gibt, wann der Betrieb wieder sicher aufgenommen werden kann. Vor dem Neustart des VSA muss ein Patch installiert werden, und es gibt eine Reihe von Empfehlungen zur Verbesserung der Sicherheitslage.
• Unsere externen Experten haben uns darauf hingewiesen, dass Kunden, die Opfer von Ransomware geworden sind und Nachrichten von den Angreifern erhalten, auf keinen Fall auf Links klicken sollten, da diese mit Schadsoftware verseucht sein könnten.
• Das neue Tool zur Erkennung von Kompromittierungen kann unter folgendem Link heruntergeladen werden: VSA Detection Tools.zip | Powered by Box Dieses Tool analysiert ein System (entweder einen VSA-Server oder einen verwalteten Endpunkt) und ermittelt, ob Anzeichen für eine Kompromittierung (Indicators of Compromise, IoC) vorliegen.

Das nächste Update wird am 4. Juli am frühen Nachmittag (EDT) veröffentlicht.

Das VSA-Produkt von Kaseya ist leider Opfer eines ausgeklügelten Cyberangriffs geworden.   Dank der schnellen Reaktion unserer Teams glauben wir, dass dieser Angriff nur eine sehr kleine Anzahl von Kunden vor Ort betroffen hat.
Dieses Update enthält weitere Details zum Update von 13:30 Uhr EDT. Die Änderungen sind zur besseren Übersichtlichkeit unterstrichen.

Unsere Sicherheits-, support und Kundendienstteams arbeiten auch am Wochenende rund um die Uhr in allen Regionen daran, das Problem zu beheben und unseren Kunden wieder einen reibungslosen Service zu bieten.

Dieses Update enthält weitere Details zu den Updates vom 3. Juli 2021 um 19:30 Uhr EDT und 21:00 Uhr EDT. Die Änderungen sind zur besseren Übersichtlichkeit unterstrichen.

Fortgesetzte Beratung

• Die gehosteten VSA-Server werden wieder in Betrieb genommen, sobald Kaseya festgestellt hat, dass wir den Betrieb sicher wiederherstellen können. Wir sind dabei, eine schrittweise Wiederaufnahme des Betriebs unserer SaaS-Serverfarmen mit eingeschränkter Funktionalität und erhöhten Sicherheitsvorkehrungen (voraussichtlich in den nächsten 24 bis 48 Stunden, Änderungen vorbehalten) auf geografischer Basis zu planen. Weitere Einzelheiten zu den Einschränkungen, Änderungen der Sicherheitsvorkehrungen und dem Zeitrahmen werden in der nächsten Mitteilung im Laufe des Tages bekannt gegeben.
• Alle lokalen VSA-Server sollten weiterhin offline bleiben, bis Kaseya weitere Anweisungen dazu gibt, wann der Betrieb wieder sicher aufgenommen werden kann. Vor dem Neustart des VSA muss ein Patch installiert werden, und es gibt eine Reihe von Empfehlungen zur Verbesserung der Sicherheitslage.
• Unsere externen Experten haben uns darauf hingewiesen, dass Kunden, die Opfer einer Ransomware-Attacke geworden sind und Nachrichten von den Angreifern erhalten, auf keinen Fall auf Links klicken sollten, da diese mit Schadsoftware versehen sein könnten.

Wichtige Punkte zum aktuellen Stand

• Das neue Tool zur Erkennung von Kompromittierungen wurde gestern Abend für fast 900 Kunden bereitgestellt, die das Tool angefordert hatten. Auf Grundlage des Feedbacks unserer Kunden werden wir heute Vormittag ein Update für das Tool veröffentlichen, das dessen Leistung und Benutzerfreundlichkeit verbessert. Es gibt keine Änderungen, die eine erneute Ausführung des Tools auf bereits gescannten Systemen erforderlich machen würden.
  Diese neue Version des Compromise Detection Tools wird automatisch an Kunden gesendet, die die erste Version erhalten haben . Neue Anfragen können per E-Mail an kaseya mit dem Betreff „Compromise Detection Tool Request” gestellt werden.
• Wir werden eine private Download-Seite für Endkunden einrichten, über die diese Zugriff auf das Compromise Detection Tool erhalten, sobald wir die Sicherheit, Integrität und Nachverfolgbarkeit des Download-Prozesses gewährleistet haben. Mehr dazu im nächsten Update.
• Wir arbeiten weiterhin mit FireEye Mandiant IR (einem führenden Unternehmen für Computer-Incident-Response) an diesem Sicherheitsvorfall. Unsere gemeinsamen Bemühungen haben seit gestern keine neuen IoCs ergeben, und wir haben unser Compromise Detection Tool bei Hunderten von Kunden eingesetzt. Bislang wurden von users keine „False Positives“ gemeldet. [Hinweis: Ein „False Positive” bedeutet, dass das Compromise Detection Tool ein System fälschlicherweise als betroffen einstuft, obwohl dies nicht der Fall ist.
• Wir haben uns aktiv mit FireEye und anderen Sicherheitsbewertungsunternehmen in Verbindung gesetzt, um die Art und die Auswirkungen des Angriffs zu bewerten und sicherzustellen, dass unsere Forschungs- und Entwicklungsabteilung die Schwachstelle ordnungsgemäß identifiziert und behoben hat. Wir setzen die Untersuchung parallel zu den Abhilfemaßnahmen fort.
• Die Forschungs- und Entwicklungsabteilung hat den Angriffsvektor repliziert, und die Arbeiten zur Schadensbegrenzung sind im Gange. Wir gehen davon aus, dass die Arbeiten in den nächsten 24 bis 48 Stunden abgeschlossen sein werden, und die Tests werden parallel dazu fortgesetzt.
• Fred Voccola, CEO von Kaseya, wurde am Sonntag, dem 4. Juli, in der Sendung „Good Morning America“ des Fernsehsenders ABC zu diesem Vorfall interviewt. Das Interview wurde gegenüber dem vollständigen Interview, das Fred gegeben hatte, erheblich gekürzt. Die kurze Botschaft lautete: „Wir sind sicher, dass wir wissen, wie es passiert ist, und wir beheben das Problem.“
• Wir haben Kontakt zum FBI und zur DHS CISA aufgenommen und arbeiten mit ihnen an einem Verfahren zur Bearbeitung von Vorfällen für unsere weltweiten Kunden, die von dem Cyberangriff betroffen sind. Die folgende Meldung wird auf der Website des FBI veröffentlicht:
  „Wenn Sie der Meinung sind, dass Ihre Systeme infolge des Kaseya-Ransomware-Vorfalls kompromittiert wurden, empfehlen wir Ihnen, alle empfohlenen Maßnahmen zu ergreifen, die Anweisungen von Kaseya zum sofortigen Herunterfahren Ihrer VSA-Server zu befolgen und den Vorfall dem FBI unter https://www.IC3.gov zu melden. Aufgrund des potenziellen Ausmaßes dieses Vorfalls können wir möglicherweise nicht auf jedes einzelne Opfer individuell reagieren, aber alle Informationen, die wir erhalten, sind für die Bekämpfung dieser Bedrohung hilfreich.“
• Zum jetzigen Zeitpunkt gehen wir davon aus, dass keiner unserer NOC-Kunden (weder SaaS noch On-Premises) von dem Angriff betroffen war. Wir setzen unsere Untersuchungen fort, aber bis zum 4. Juli um 10:00 Uhr EDT wurden keine kompromittierten NOC-Kunden gefunden.
• Die Führungskräfte von Kaseya wenden sich direkt an die betroffenen Kunden, um sich über deren Situation zu informieren und zu klären, welche Unterstützung möglich ist. Wenn Sie glauben, dass Sie betroffen sind, wenden Sie sich bitte an [email protected] mit dem Betreff „Security Incident Report” (Sicherheitsvorfall melden). Seit unserem letzten Bericht gestern sind keine neuen Sicherheitsverletzungen gemeldet worden. Wir sind zuversichtlich, dass wir den Umfang des Problems verstanden haben, und arbeiten mit jedem Kunden zusammen, um alles zu tun, um Abhilfe zu schaffen. Wir glauben, dass derzeit kein Risiko für VSA-Kunden besteht, die SaaS-Kunden sind oder deren Server offline ist.

Das VSA-Produkt von Kaseya ist leider Opfer eines ausgeklügelten Cyberangriffs geworden. Dank der schnellen Reaktion unserer Teams glauben wir, dass dieser Angriff nur eine sehr kleine Anzahl von Kunden vor Ort betroffen hat.

Dieses Update enthält weitere Details zum Update von 13:30 Uhr EDT. Die Änderungen sind zur besseren Übersichtlichkeit unterstrichen.

Wichtige Punkte zum aktuellen Stand:

• Alle lokalen VSA-Server sollten weiterhin offline bleiben, bis Kaseya weitere Anweisungen dazu gibt, wann der Betrieb wieder sicher aufgenommen werden kann. Vor dem Neustart des VSA muss ein Patch installiert werden. Wir planen, unsere erste Schätzung morgen früh um ca. 9:00 Uhr EDT im Rahmen des Updates bekannt zu geben.
• SaaS- und gehostete VSA-Server werden wieder in Betrieb genommen, sobald Kaseya festgestellt hat, dass wir den Betrieb sicher wiederherstellen können.
• Unsere externen Experten haben uns darauf hingewiesen, dass Kunden, die von Ransomware betroffen sind und Nachrichten von den Angreifern erhalten, auf keine Links klicken sollten, da diese mit Schadsoftware versehen sein könnten.
• Ein Tool zur Erkennung von Kompromittierungen wird Kaseya VSA-Kunden im Laufe des Abends zur Verfügung gestellt, indem eine E-Mail mit dem Betreff „Compromise Detection Tool Request” (Anforderung eines Tools zur Erkennung von Kompromittierungen) von einer E-Mail-Adresse, die mit einem VSA-Kunden verknüpft ist, an [email protected] gesendet wird.
• Angesichts der Verfügbarkeit des Tools zur Erkennung von Kompromittierungen empfehlen wir kompromittierten Kunden dringend, unverzüglich mit dem recovery zu beginnen.
• Fred Voccola, CEO von Kaseya, wird am Sonntag, dem 4. Juli, in der Sendung „Good Morning America” des Fernsehsenders ABC zu diesem Vorfall interviewt. Die Sendezeiten in Ihrer Region entnehmen Sie bitte Ihrem lokalen Fernsehprogramm. (Änderungen durch den Sender sind kurzfristig vorbehalten.)
• Die Führungskräfte von Kaseya wenden sich direkt an die betroffenen Kunden, um sich über deren Situation zu informieren und zu klären, welche Unterstützung möglich ist. Wenn Sie glauben, dass Sie betroffen sind, wenden Sie sich bitte mit dem Betreff „Security Incident Report“ an [email protected]. Es gab heute nur einen neuen Bericht über eine Kompromittierung, die darauf zurückzuführen ist, dass ein lokaler VSA-Server eingeschaltet geblieben war. Wir sind zuversichtlich, dass wir den Umfang des Problems verstehen, und arbeiten mit jedem Kunden zusammen, um alles zu tun, um Abhilfe zu schaffen. Wir glauben, dass derzeit kein Risiko für VSA-Kunden besteht, die SaaS-Kunden sind oder lokale VSA-Kunden, deren Server ausgeschaltet sind.
• Wir haben ein Unternehmen für die Reaktion auf Computervorfälle (FireEye Mandiant IR) beauftragt, die Indikatoren für Kompromittierungen (IoCs) zu identifizieren, um sicherzustellen, dass wir feststellen können, auf welche Systeme und Daten zugegriffen wurde. Wir haben eine Reihe vorläufiger IoCs identifiziert und arbeiten mit unseren betroffenen Kunden zusammen, um diese zu validieren. Die Verfügbarkeit des Tools zur Erkennung von Kompromittierungen basiert auf unseren Interaktionen mit unseren externen Experten.
• Wir haben uns aktiv mit FireEye und anderen Sicherheitsbewertungsunternehmen in Verbindung gesetzt, um die Art und die Auswirkungen des Angriffs zu bewerten und sicherzustellen, dass unsere Forschungs- und Entwicklungsabteilung die Schwachstelle ordnungsgemäß identifiziert und behoben hat.
• Die Forschungs- und Entwicklungsabteilung hat den Angriffsvektor repliziert und arbeitet daran, ihn zu entschärfen. Wir haben mit der Überarbeitung des Codes begonnen und werden ab morgen früh regelmäßig über den Fortschritt berichten. Sobald wir die Arbeit abgeschlossen und in unserer Umgebung gründlich getestet haben, werden wir mit ausgewählten Kunden zusammenarbeiten, um die Änderungen in der Praxis zu testen. Wir werden keinen Zeitrahmen für die Lösung veröffentlichen, bevor wir die vorgeschlagene Lösung nicht gründlich validiert und getestet haben.
• Zum jetzigen Zeitpunkt gehen wir davon aus, dass keiner unserer NOC-Kunden (weder SaaS noch On-Premises) von dem Angriff betroffen war. Wir untersuchen dies weiterhin, aber bis 19:00 Uhr EDT wurden keine kompromittierten NOC-Kunden gefunden.
• Wir haben Kontakt zum FBI aufgenommen und arbeiten gemeinsam mit ihnen an einem Verfahren zur Bearbeitung von Vorfällen für unsere weltweiten Kunden, die von dem Cyberangriff betroffen sind.

Kaseya geht das Sicherheitsproblem in mehreren Arbeitsbereichen an:

• Da die Sicherheit unserer Kunden oberste Priorität hat, empfehlen wir unseren On-Premises-Kunden weiterhin dringend, ihre VSA-Server bis auf Weiteres offline zu lassen. Auch unsere SaaS-Server werden bis auf Weiteres offline bleiben .
• Unsere externen Experten raten Kunden, die Opfer einer Ransomware-Attacke geworden sind und eine Nachricht von den Angreifern erhalten haben, nicht auf Links zu klicken, da diese mit Schadsoftware versehen sein könnten.
• Wir haben Kontakt zum FBI aufgenommen und arbeiten gemeinsam mit ihnen an einem Verfahren zur Bearbeitung von Vorfällen für unsere weltweiten Kunden, die von dem Cyberangriff betroffen sind. Wir werden im Laufe des Tages eine Liste mit Kontaktdaten veröffentlichen.
• Die Führungskräfte von Kaseya wenden sich direkt an die betroffenen Kunden, um sich über deren Situation zu informieren und zu klären, welche Unterstützung möglich ist. Alle, die glauben, betroffen zu sein, sollten sich unter Angabe des Betreffs „Security Incident Report“ an [email protected] wenden.
• Wir arbeiten weiterhin mit Branchenexperten zusammen, um die Art und die Auswirkungen des Angriffs zu bewerten und sicherzustellen, dass unsere Forschungs- und Entwicklungsabteilung die Schwachstelle ordnungsgemäß identifiziert und behoben hat.
• Die Forschungs- und Entwicklungsabteilung hat den Angriffsvektor nachgebildet und arbeitet daran, ihn zu entschärfen. Wir werden keinen Zeitrahmen für die Lösung veröffentlichen, bevor wir die vorgeschlagene Lösung nicht gründlich validiert und getestet haben. Wir danken unseren Kunden für ihre Geduld.
• Wir haben ein Unternehmen für Computerforensik beauftragt, die Indikatoren für Kompromittierung (IOCs) zu identifizieren, um sicherzustellen, dass wir feststellen können, auf welche Systeme und Daten zugegriffen wurde.
• Die Forschungs- und Entwicklungsabteilung arbeitet derzeit an einem Selbstbewertungstool für unsere Kunden, mit dem diese eindeutig feststellen können, ob sie betroffen sind. Dieses Tool wird als Teil des Patches für On-Premises-Kunden veröffentlicht.

Zum jetzigen Zeitpunkt gehen wir davon aus, dass keiner unserer NOC-Kunden (weder SaaS noch On-Premises) von dem Angriff betroffen war. Wir untersuchen dies weiterhin.

• ALLE VSA-SERVER VOR ORT SOLLTEN BIS ZU WEITEREN ANWEISUNGEN VON KASEYA, WANN DER BETRIEB WIEDER SICHER AUFGENOMMEN WERDEN KANN, WEITERHIN AUSGESCHALTET BLEIBEN. VOR DEM NEUSTART DES VSA MUSS EIN PATCH INSTALLIERT WERDEN.
• SAAS- UND HOSTED-VSA-SERVER WERDEN IN BETRIEB GENOMMEN, SOBALD KASEYA FESTGESTELLT HAT, DASS WIR DEN BETRIEB SICHER WIEDERHERSTELLEN KÖNNEN.

Das VSA-Produkt von Kaseya ist leider Opfer eines ausgeklügelten Cyberangriffs geworden. Dank der schnellen Reaktion unserer Teams glauben wir, dass dieser Angriff nur eine sehr kleine Anzahl von Kunden vor Ort betroffen hat.

Da die Sicherheit unserer Kunden oberste Priorität hat,empfehlen wir unseren On-Premises-Kunden weiterhin dringend, ihre VSA-Server bis auf Weiteres ausgeschaltet zu lassen.Auch unsere SaaS-Server werden bis auf Weiteres offline bleiben.

Unsere externen Experten haben uns darauf hingewiesen, dass Kunden, die Opfer einer Ransomware-Attacke geworden sind und eine Nachricht von den Angreifern erhalten haben, auf keinen Fall auf Links klicken sollten, da diese mit Schadsoftware versehen sein könnten.

Kaseya hat rund um die Uhr daran gearbeitet, dieses Problem aus Sicht der Sicherheitsbewertung, des Kundensupports, der Fortschrittsberichte, der technischen Lösung und der Wiederherstellung des Betriebszustands zu beheben.

Eine umfassende Aktualisierung ist in Arbeit und wird im Laufe des Vormittags (EDT) veröffentlicht. Diese Mitteilung wird verbindliche Informationen zu folgenden Themen enthalten:

• Die externen Behörden (FBI, Incident Response Experts), die wir beauftragt haben, und wie wir sie zur Unterstützung einsetzen;
• Wie unsere Kunden Kaseya um Unterstützung bitten können und wie wir ihnen helfen können;
• Wie lässt sich feststellen, ob Kunden kompromittiert wurden?
• Status-Updates von der Forschungs- und Entwicklungsabteilung zum Fortschritt des Patches fürusers;
• Der Plan, unsere SaaS- und On-Premises-Kunden wieder online zu bringen;
• Eine detaillierte Beschreibung des Prozesses für Sicherheitsvorfälle und des aktuellen Status;
• Ein Zeitplan für Kommunikationsaktualisierungen;
• Weitere wichtige Informationen zumrecovery .

Laufende Aktualisierungen werden alle 3–4 Stunden oder je nach aktuellen Entwicklungen auch häufiger bereitgestellt.

1. ALLE LOKALEN VSA-SERVER SOLLTEN BIS AUF WEITERE ANWEISUNGEN VON KASEYA WEITERHIN OFFLINE BLEIBEN.
2. SAAS- UND HOSTED-VSA-SERVER WERDEN IN BETRIEB GENOMMEN, SOBALD KASEYA FESTGESTELLT HAT, DASS WIR DEN BETRIEB SICHER WIEDERHERSTELLEN KÖNNEN.

Am Freitag, dem 2. Juli 2021, gegen Mittag (EDT/US), wurde das Incident Response Team von Kaseya über einen potenziellen Sicherheitsvorfall im Zusammenhang mit unserer VSA-Software informiert.

Wir haben umgehend Maßnahmen zum Schutz unserer Kunden ergriffen:

• Als Vorsichtsmaßnahme haben wir unsere SaaS-Server sofort abgeschaltet, obwohl wir keine Berichte über Kompromittierungen von SaaS- oder Hosting-Kunden erhalten hatten.
• Wir haben unsere lokalen Kunden umgehend per E-Mail, Produktbenachrichtigungen und Telefon benachrichtigt, ihre VSA-Server herunterzufahren, um eine Kompromittierung zu verhindern.

Anschließend folgten wir unserem festgelegten Vorgehensplan für die Reaktion auf Vorfälle, um das Ausmaß des Vorfalls und die Auswirkungen auf unsere Kunden zu ermitteln.

• Wir haben unser internes Incident-Response-Team und führende Branchenexperten für forensische Untersuchungen hinzugezogen, um die Ursache des Problems zu ermitteln.
• Wir haben die Strafverfolgungsbehörden und staatlichen Cybersicherheitsbehörden, darunter das FBI und die CISA, benachrichtigt.

Obwohl unsere ersten Indikatoren darauf hindeuteten, dass nur eine sehr geringe Anzahl von On-Premise-Kunden betroffen war, haben wir uns für eine konservative Vorgehensweise entschieden und die SaaS-Server abgeschaltet, um unsere mehr als 36.000 Kunden bestmöglich zu schützen. Wir haben von unseren Kunden positives Feedback für unsere schnelle und proaktive Reaktion erhalten.

Während unsere Untersuchung noch läuft, glauben wir bis heute, dass:

• Unsere SaaS-Kunden waren zu keinem Zeitpunkt gefährdet. Wir gehen davon aus, dass wir den Service für diese Kunden wiederherstellen können, sobald wir uns davon überzeugt haben, dass sie nicht gefährdet sind. Dies wird voraussichtlich innerhalb der nächsten 24 Stunden der Fall sein.
• Nur ein sehr kleiner Prozentsatz unserer Kunden war davon betroffen – derzeit schätzen wir die Zahl weltweit auf weniger als 40.

Wir glauben, dass wir die Ursache der Sicherheitslücke identifiziert haben und bereiten derzeit einen Patch vor, um diese für unsere On-Premises-Kunden zu beheben. Dieser Patch wird gründlich getestet werden. Wir werden diesen Patch so schnell wie möglich veröffentlichen, damit unsere Kunden wieder uneingeschränkt arbeiten können.

Ich bin stolz darauf, berichten zu können, dass unser Team einen Plan hatte, um sofort zu handeln, und diesen Plan heute perfekt umgesetzt hat. Die überwiegende Mehrheit unserer Kunden hat uns mitgeteilt, dass sie keinerlei Probleme hatten, und ich bin unseren internen Teams, externen Experten und Branchenpartnern dankbar, die mit uns zusammengearbeitet haben, um dies schnell zu einem erfolgreichen Ergebnis zu bringen.

Die heutigen Maßnahmen sind ein Beweis für das unerschütterliche Engagement von Kaseya, unsere Kunden an erste Stelle zu setzen und den bestmöglichen Support für unsere Produkte zu bieten.

Fred Voccola, CEO
Kaseya