Mises à jour concernant l'incident de sécurité chez VSA

Juillet 26, 2021 - 1:00 après-midi (heure de l'Est)

Tout au long du week-end dernier, l'équipe de gestion des incidents de Kaseya et les partenaires d'Emsisoft ont poursuivi leur travail afin d'aider nos clients et d'autres personnes à restaurer leurs données chiffrées. Nous continuons à fournir l'outil de déchiffrement aux clients qui en font la demande, et nous encourageons tous nos clients dont les données auraient pu être chiffrées lors de l'attaque à contacter leurs interlocuteurs chez Kaseya. L'outil de déchiffrement s'est révélé efficace à 100 % pour déchiffrer les fichiers qui avaient été entièrement chiffrés lors de l'attaque.

Kaseya a toujours eu pour priorité d'aider ses clients, et lorsque nous avons obtenu le décrypteur la semaine dernière, nous avons agi aussi rapidement que possible pour l'utiliser en toute sécurité et aider nos clients à récupérer leurs données chiffrées. Des informations récentes laissent entendre que notre silence persistant quant à savoir si Kaseya a payé la rançon pourrait encourager de nouvelles attaques par ransomware, mais rien ne pourrait être plus éloigné de notre objectif. Bien que chaque entreprise doive prendre sa propre décision quant au paiement de la rançon, Kaseya a décidé, après consultation d'experts, de ne pas négocier avec les criminels auteurs de cette attaque, et nous n'avons pas dérogé à cet engagement. À ce titre, nous confirmons sans ambiguïté que Kaseya n'a pas payé de rançon – ni directement, ni indirectement par l'intermédiaire d'un tiers – pour obtenir le décrypteur.

 

Juillet 23, 2021 - 3:00 après-midi (heure de l'Est)

L'équipe d'intervention en cas d'incident de Kaseya, avec le soutien d'Emsisoft, continue de fournir à nos clients la clé de déchiffrement et de les aider à restaurer toutes les données chiffrées qui n'avaient pas encore été restaurées à partir d'une sauvegarde. Nous n'avons reçu aucun signalement de problèmes ou de dysfonctionnements concernant le déchiffreur.

 

Juillet 22, 2021 - 3:30 après-midi (heure de l'Est)

Kaseya a obtenu une clé de déchiffrement universelle.

Le 21 juillet 2021, Kaseya a obtenu un outil de déchiffrement destiné aux victimes de l'attaque par le ransomware REvil, et nous nous employons actuellement à aider les clients touchés par cet incident.

Nous pouvons confirmer que Kaseya s'est procuré cet outil auprès d'un tiers et que ses équipes aident activement les clients touchés par le ransomware à restaurer leurs environnements ; aucun problème ni incident lié au décrypteur n'a été signalé. Kaseya collabore avec Emsisoft pour soutenir nos efforts d'assistance à la clientèle, et Emsisoft a confirmé que la clé permettait de déverrouiller les systèmes des victimes.

Nous restons déterminés à garantir le plus haut niveau de sécurité à nos clients et nous continuerons à publier des mises à jour ici dès que nous disposerons de plus amples informations.

Les clients touchés par le ransomware seront contactés par des représentants de Kaseya.

Juillet 19, 2021 - 3:15 après-midi (heure de l'Est)

Mise à jour du correctif de maintenance VSA 9.5.7.3011

Kaseya publie le correctif 9.5.7.3011, qui corrige les problèmes de fonctionnalité causés par les mesures de sécurité renforcées mises en place et apporte des corrections de bogues (il ne s'agit pas d'une mise à jour de sécurité). Les notes de mise à jour complètes, avec la liste des corrections, sont disponibles à l'adresse suivante : https://helpdesk.kaseya.com/hc/en-gb/articles/4404146456209.

Mise à jour VSA SaaS

Le premier déploiement de VSA SaaS a été mis en service le samedi 17 juillet (heure de la côte Est des États-Unis) pour les instances VSA SaaS suivantes : EU – SAAS03, EU – SAAS06, EU – SAAS11, EU – SAAS12, EU – SAAS16, EU – SAAS23, EU – SAAS24, EU – SAAS25, EU – SAAS28, EU – SAAS34, EU – SAAS39, EU – SAAS41, EU – SAAS43, US – NA1VSA01, US – NA1VSA04, US – NA1VSA08, US – NA1VSA12, US – NA1VSA14, US – NA1VSA22, US – NA1VSA28, États-Unis – NA1VSA29, États-Unis – NA1VSA30, États-Unis – NA1VSA32, États-Unis – NA1VSA37, NA1VSA105, États-Unis – NA1VSA108, États-Unis – NA1VSA115, États-Unis – IAD2VSA02, États-Unis – IAD2VSA04

Les instances VSA SaaS restantes seront mises à jour ce soir (19 juillet) entre 20 h et 4 h (heure de la côte Est des États-Unis).

Mise à jour de VSA sur site :

Le correctif VSA sur site sera mis à la disposition des clients et publié sur le site de téléchargement d'ici 16 h 30 (heure de la côte Est des États-Unis) aujourd'hui.

Juillet 16, 2021 - 7:00 après-midi (heure de l'Est)

Mise à jour du correctif de maintenance VSA 9.5.7.3011

Kaseya va publier le correctif 9.5.7.3011, qui corrige les problèmes de fonctionnalité causés par les mesures de sécurité renforcées mises en place et apporte des corrections de bogues (il ne s'agit pas d'une mise à jour de sécurité). (Il ne s'agit pas une mise à jour de sécurité). Les notes de mise à jour complètes avec les corrections sont disponibles à l'adresse suivante : https://helpdesk.kaseya.com/hc/en-gb/articles/4404146456209.

Le correctif devrait être disponible pour les clients VSA On-Premises d'ici la fin de la journée du lundi19 juillet.

Le premier déploiement de VSA SaaS est prévu le samedi17 juillet entre 7 h et 11 h (heure de la côte Est des États-Unis) pour les instances VSA SaaS suivantes : EU – SAAS03, EU – SAAS06, EU – SAAS11, EU – SAAS12, EU – SAAS16, EU – SAAS23, EU – SAAS24, EU – SAAS25, EU – SAAS28, EU – SAAS34, EU – SAAS39, EU – SAAS41, EU – SAAS43, US – NA1VSA01, US – NA1VSA04, US – NA1VSA08, US – NA1VSA12, US – NA1VSA14, US – NA1VSA22, US – NA1VSA28, États-Unis – NA1VSA29, États-Unis – NA1VSA30, États-Unis – NA1VSA32, États-Unis – NA1VSA37, NA1VSA105, États-Unis – NA1VSA108, États-Unis – NA1VSA115, États-Unis – IAD2VSA02, États-Unis – IAD2VSA04

Le déploiement des instances VSA SaaS restantes est prévu entre 20 h et 4 h (heure de l'Est des États-Unis) le lundi19 juillet.

Juillet 14, 2021 - 5:00 après-midi (heure de l'Est)

Vérification de l'installation du correctif VSA

Lorsque vous exécutez le correctif Kinstall sur votre VSA, si vous avez choisi de réinstaller VSA et que vous avez soit désélectionné l'option par défaut permettant d'installer le dernier correctif, soit relancé la procédure de réinstallation de VSA unedeuxièmefois sans sélectionner l'option « Installer le correctif », il est possible que votre correctif n'ait pas été réappliqué.

Même s'il s'agit là de cas exceptionnels, nous vous recommandons de vérifier que le dernier correctif a bien été installé. Nous avons mis au point un outil qui vous permet de vous assurer que le correctif est correctement installé.

Téléchargez l'outil de vérification à l'adresse suivante : https://app.box.com/s/5kqsbdj9aajezsc63jzaadpka5esk1v8

Juillet 13, 2021 - 8:00 après-midi (heure de l'Est)

Mise à jour VSA :

La version 9.5.7a a été déployée à la fois sur VSA SaaS et sur la version sur site le dimanche11 juillet.

Veuillez vous assurer d'avoir pris connaissance des notes de mise à jour disponibles à l'adresse suivante : https://helpdesk.kaseya.com/hc/en-gb/articles/4403785889041

Nous vous recommandons également de consulter les documents suivants :

Liste blanche d'adresses IP pour l'intégration VSA sur site – https://helpdesk.kaseya.com/hc/en-gb/articles/4403869952657

Guide de démarrage sur site (mis à jourle 11 juillet – mise à jour de l'étape 4) – https://helpdesk.kaseya.com/hc/en-gb/articles/4403709150993incident-response

Guide de renforcement de la sécurité et de bonnes pratiques pour VSA sur site – https://helpdesk.kaseya.com/hc/en-gb/articles/4403760102417

Guide de démarrage VSA SaaS – https://helpdesk.kaseya.com/hc/en-gb/articles/4403709476369

Guide de renforcement de la sécurité et des bonnes pratiques VSA SaaS – https://helpdesk.kaseya.com/hc/en-gb/articles/4403622421009-VSA-SaaS-Best-Practices

Juillet 12, 2021 - 3:30 après-midi (heure de l'Est)

La maintenance imprévue sur l'infrastructure SaaS de VSA est désormais terminée et toutes les instances sont à nouveau opérationnelles.

En raison du grand nombre d'utilisateurs qui se sont reconnectés en très peu de temps, nous avons rencontré quelques problèmes de performances. Nous avons apporté des modifications à la configuration pour y remédier, et le problème est désormais résolu. Nous continuerons à surveiller les performances et à effectuer les ajustements nécessaires.

Juillet 12, 2021 - 12:15 après-midi (heure de l'Est)

Une maintenance imprévue sera effectuée aujourd'hui sur l'ensemble de notre infrastructure SaaS, entre 12 h 00 et 14 h 00 (heure de l'Est), avec une interruption prévue de 20 minutes. En raison du nombre important d'utilisateurs se reconnectant simultanément en un laps de temps très court, nous avons constaté certains problèmes de performances. Nous avons apporté des modifications à la configuration pour y remédier et devons redémarrer les serveurs pour que ces changements prennent effet et améliorent les performances.

12, 2021 - 8:00 juillet, à 12 h EDT

Mise à jour VSA :

Comme indiqué dans la mise à jour précédente, nous avons mis à disposition le correctif pour les clients VSA On-Premises et avons commencé à le déployer sur notre infrastructure VSA SaaS avant l'heure prévue de 16 h. La restauration des services est désormais terminée : 100 % de nos clients SaaS étaient de nouveau opérationnels à 3 h 30 (heure de l'Est des États-Unis). Nos équipes d'assistance continuent d'accompagner les clients VSA On-Premises qui ont sollicité de l'aide pour l'installation du correctif.

Nous continuerons à publier des mises à jour dès que de nouvelles informations seront disponibles.

12, 2021 - 3:00 juillet, à 12 h EDT

Comme indiqué dans notre dernière mise à jour, nous avons mis à disposition le correctif pour les clients VSA On-Premises et avons commencé à le déployer sur notre infrastructure VSA SaaS avant l'heure prévue de 16 h. La restauration des services est en cours : 95 % de nos clients SaaS sont déjà opérationnels et les serveurs des autres clients seront remis en service dans les prochaines heures. Nos équipes d'assistance accompagnent actuellement les clients VSA On-Premises qui ont sollicité de l'aide pour l'application du correctif.

Nous continuerons à publier des mises à jour concernant l'avancement du déploiement de la mise à jour et l'état des serveurs.

Juillet 11, 2021 - 10:00 après-midi (heure de l'Est)

Mise à jour VSA :

Comme indiqué dans la mise à jour précédente, nous avons mis à disposition le correctif pour les clients VSA On-Premises et avons commencé à le déployer sur notre infrastructure VSA SaaS avant l'heure prévue de 16 h. La restauration des services se déroule comme prévu : 60 % de nos clients SaaS sont déjà opérationnels et les serveurs des autres clients seront remis en service dans les prochaines heures. Nos équipes d'assistance accompagnent les clients VSA On-Premises qui ont sollicité de l'aide pour l'application du correctif.

Nous continuerons à publier des mises à jour sur l'avancement du déploiement de la mise à jour et l'état des serveurs tout au long de la soirée.

Juillet 11, 2021 - 4:30 après-midi (heure de l'Est)

Mise à jour VSA :

Les notes de mise à jour de VSA (en mode SaaS et sur site) ont été publiées et sont disponibles à l'adresse suivante : https://helpdesk.kaseya.com/hc/en-gb/articles/4403785889041

VSA SaaS :

La remise en service de notre infrastructure VSA SaaS a commencé. Nous vous enverrons des notifications par e-mail au fur et à mesure que les différentes instances seront remises en service au cours des prochaines heures.

Veuillez vérifier :

Guide de démarrage VSA SaaS – https://helpdesk.kaseya.com/hc/en-gb/articles/4403709476369

Guide de renforcement de la sécurité et des bonnes pratiques VSA SaaS – https://helpdesk.kaseya.com/hc/en-gb/articles/4403622421009-VSA-SaaS-Best-Practices

VSA sur site

Le correctif VSA On-Premises est désormais disponible. Vous pouvez exécuter KINSTALL comme d'habitude dans le cadre de votre procédure de mise à jour.

Veuillez vérifier :

Guide de démarrage sur site (mis à jourle 11 juillet – mise à jour de l'étape 4) – https://helpdesk.kaseya.com/hc/en-gb/articles/4403709150993incident-response

Guide de renforcement de la sécurité et de bonnes pratiques pour VSA sur site – https://helpdesk.kaseya.com/hc/en-gb/articles/4403760102417

 

Mike Sanders, vice-président exécutif de Kaseya, fait le point sur l'état d'avancement des préparatifs pour le VSA - 11 juillet 2021, 12 h 15 (heure de l'Est)

Les équipes techniques de Kaseya sont en train de finaliser à la fois le correctif sur site et les mises à jour de la plateforme SaaS en vue de la publication prévue à 16 h 00 (heure de l'Est). Mike Sanders fait le point et signale les récentes mises à jour du Runbook sur site (https://helpdesk.kaseya.com/hc/en-gb/articles/4403709150993incident-response), également mentionnées ci-dessous sur cette page.

11, 2021 - 10:30 juillet, à 11 h EDT

Mise à jour VSA :

Nous sommes toujours dans les temps pour publier le correctif VSA On-Premises et commencer à mettre en service notre infrastructure VSA SaaS le dimanche 11 juillet à 16 h (heure de l'Est).

*NOUVEAU* – Nous avons mis à jour notre guide d'exécution VSA sur site, ÉTAPE 4 – Suite aux commentaires de nos clients, nous avons apporté des modifications à l'outil de réécriture IIS afin de leur offrir un meilleur contrôle de leurs environnements via leurs pare-feu. Veuillez consulter l'ÉTAPE 4 du document disponible via le lien suivant : https://helpdesk.kaseya.com/hc/en-gb/articles/4403709150993

*NOUVEAU* – Nous avons mis à jour notre guide d'exploitation VSA sur site afin d'y inclure un outil qui vous permettra d'effacer toutes les procédures accumulées avant de redémarrer votre VSA. Veuillez consulter l'ÉTAPE 6 du document disponible via le lien suivant : https://helpdesk.kaseya.com/hc/en-gb/articles/4403709150993

Mises à jour régulières

Veuillez vous assurer d'avoir pris connaissance des documents suivants :

VSA sur site :

Guide de démarrage sur site (mis à jourle 11 juillet – mise à jour de l'étape 4) – https://helpdesk.kaseya.com/hc/en-gb/articles/4403709150993incident-response

Guide de renforcement de la sécurité et de bonnes pratiques pour VSA sur site – https://helpdesk.kaseya.com/hc/en-gb/articles/4403760102417

VSA SaaS :

Guide de démarrage VSA SaaS – https://helpdesk.kaseya.com/hc/en-gb/articles/4403709476369

Guide de renforcement de la sécurité et des bonnes pratiques VSA SaaS – https://helpdesk.kaseya.com/hc/en-gb/articles/4403622421009-VSA-SaaS-Best-Practices

Mike Sanders, vice-président exécutif de Kaseya, fait le point sur l'état d'avancement des préparatifs pour le VSA - 10 juillet 2021, 15 h 30 (heure de l'Est)

Les équipes techniques de Kaseya et leurs partenaires testent activement les mises à jour et continueront à le faire au cours des prochaines 24 heures. Mike Sanders fait le point sur l'avancement des travaux et fournit des conseils aux clients en prévision de la mise à disposition prévue demain.

Juillet 10, 2021 - 2:00 après-midi (heure de l'Est)

Mise à jour VSA :

Nous sommes toujours dans les temps pour publier le correctif VSA sur site et commencer son déploiement sur notre infrastructure VSA SaaS le dimanche 11 juillet à 16 h (heure de l'Est).

Plus tard dans la soirée, nous publierons une nouvelle vidéo de notre vice-président exécutif, Mike Sanders, faisant le point sur notre gestion de l'incident et sur les mesures que vous pouvez prendre dès maintenant pour vous préparer à la mise à jour.

Pour nos clients VSA On-Premises, nous publierons prochainement un outil qui effacera toutes les procédures en attente et qui sera intégré aux guides d'exploitation ci-dessous – restez à l'écoute.

Mises à jour régulières

Veuillez vous assurer d'avoir pris connaissance des documents suivants :

VSA sur site :

Guide de démarrage sur site (mis à jourle 9 juillet – Ajout de l'étape 7) – https://helpdesk.kaseya.com/hc/en-gb/articles/4403709150993incident-response

Guide de renforcement de la sécurité et de bonnes pratiques pour VSA sur site – https://helpdesk.kaseya.com/hc/en-gb/articles/4403760102417

VSA SaaS :

Guide de démarrage VSA SaaS – https://helpdesk.kaseya.com/hc/en-gb/articles/4403709476369

Guide de renforcement de la sécurité et des bonnes pratiques VSA SaaS – https://helpdesk.kaseya.com/hc/en-gb/articles/4403622421009-VSA-SaaS-Best-Practices

10, 2021 - 9:30 juillet, à 10 h EDT

Mise à jour VSA :

Nous sommes toujours dans les temps pour publier le correctif VSA sur site et commencer son déploiement sur notre infrastructure VSA SaaS le dimanche 11 juillet à 16 h (heure de l'Est).

Veuillez vous assurer d'avoir pris connaissance des documents suivants :

VSA sur site :

Guide de démarrage sur site (mis à jourle 9 juillet – Ajout de l'étape 7) – https://helpdesk.kaseya.com/hc/en-gb/articles/4403709150993

Guide de renforcement de la sécurité et de bonnes pratiques pour VSA sur site – https://helpdesk.kaseya.com/hc/en-gb/articles/4403760102417

VSA SaaS :

Guide de démarrage VSA SaaS – https://helpdesk.kaseya.com/hc/en-gb/articles/4403709476369

Guide de renforcement de la sécurité et des bonnes pratiques VSA SaaS – https://helpdesk.kaseya.com/hc/en-gb/articles/4403622421009-VSA-SaaS-Best-Practices

Juillet 9, 2021 - 7:00 après-midi (heure de l'Est)

Rappel : des spammeurs exploitent l'actualité relative à l'incident Kaseya pour envoyer de faux e-mails qui semblent provenir de Kaseya. Il s'agit d'e-mails de hameçonnage pouvant contenir des liens et/ou des pièces jointes malveillants, ou d'appels téléphoniques provenant de personnes se présentant comme des partenaires de Kaseya. NE CLIQUEZ PAS sur les liens, NE TÉLÉCHARGEZ PAS les pièces jointes et NE RÉPONDEZ PAS aux appels téléphoniques provenant de personnes se présentant comme des partenaires de Kaseya.

Mises à jour :

Le dimanche 11 juillet à 16 h (heure de la côte Est), le correctif VSA sur site sera disponible et nous commencerons son déploiement sur notre infrastructure VSA SaaS.

Nous avons mis à jour notre guide de renforcement de la sécurité et de bonnes pratiques pour VSA sur site (ajout de l'étape n° 7), disponible à l'adresse suivante : publié et consultable à l'adresse suivante : https://helpdesk.kaseya.com/hc/en-gb/articles/4403760102417

Mike Sanders, vice-président exécutif de Kaseya, fait le point sur l'état d'avancement des préparatifs pour le VSA - 9 juillet 2021, 18 h 00 (heure de l'Est)

Les équipes techniques de Kaseya et leurs partenaires continuent de tout mettre en œuvre pour que les clients puissent reprendre leurs activités. Mike Sanders, vice-président exécutif, fait le point sur l'avancement des travaux à ce jour, et met en garde contre les communications suspectes provenant de sources extérieures à Kaseya.  

Juillet 9, 2021 - 5:00 après-midi (heure de l'Est)

Comme nous vous l'avons déjà signalé, des spammeurs exploitent l'actualité relative à l'incident Kaseya pour envoyer de faux e-mails qui semblent provenir de Kaseya. Il s'agit d'e-mails de hameçonnage pouvant contenir des liens malveillants et/ou des pièces jointes.

Il se peut également que des spammeurs passent des appels téléphoniques en se faisant passer pour un partenaire de Kaseya proposant leur aide.

Kaseya N'A PAS demandé à ses partenaires de vous contacter – NE RÉPONDEZ PAS aux appels téléphoniques provenant de personnes se présentant comme des partenaires de Kaseya.

NE CLIQUEZ SUR AUCUN LIEN ET NE TÉLÉCHARGEZ AUCUNE PIÈCE JOINTE figurant dans des e-mails prétendant provenir de Kaseya. Cependant, certains clients sont abonnés à notre site d'assistance et, à l'heure actuelle, ces e-mails automatiques peuvent contenir des liens. Par mesure de précaution, soyez vigilant face à tout lien ou pièce jointe figurant dans un e-mail.

Nouvelles mises à jour :

Nous publierons plus tard dans la soirée une vidéo de notre vice-président exécutif, Mike Sanders, dans laquelle il fera le point sur l'incident, sur notre réaction et sur la mise à jour prévue ce dimanche à 16 h (heure de la côte Est des États-Unis).

Nous avons mis à jour notre guide de renforcement de la sécurité et de bonnes pratiques pour VSA sur site (ajout de l'étape n° 7), que vous pouvez consulter à l'adresse suivante : https://helpdesk.kaseya.com/hc/en-gb/articles/4403709150993

Juillet 9, 2021 - 12:00 après-midi (heure de l'Est)

Comme nous vous l'avons déjà signalé, des spammeurs exploitent l'actualité relative à l'incident Kaseya pour envoyer de faux e-mails qui semblent provenir de Kaseya. Il s'agit d'e-mails de hameçonnage pouvant contenir des liens malveillants et/ou des pièces jointes.

Il se peut également que des spammeurs passent des appels téléphoniques en se faisant passer pour un partenaire de Kaseya proposant leur aide.

Kaseya N'A PAS demandé à ses partenaires de vous contacter – NE RÉPONDEZ PAS aux appels téléphoniques provenant de personnes se présentant comme des partenaires de Kaseya.

NE CLIQUEZ SUR AUCUN LIEN ET NE TÉLÉCHARGEZ AUCUNE PIÈCE JOINTE CONTENUE DANS DES E-MAILS PRÉTENDANT PROVENIR DE Kaseya.

9, 2021 - 9:00 juillet, à 9 h EDT

Comme nous vous l'avons déjà signalé, des spammeurs exploitent l'actualité relative à l'incident Kaseya pour envoyer de faux e-mails qui semblent provenir de Kaseya. Il s'agit d'e-mails de hameçonnage pouvant contenir des liens malveillants et/ou des pièces jointes.

Ne cliquez sur aucun lien et ne téléchargez aucune pièce jointe contenue dans des e-mails se présentant comme des avis de Kaseya.

À l'avenir, les nouveaux e-mails d'information de Kaseya ne contiendront plus aucun lien ni aucune pièce jointe.

Le point sur l'incident VSA :

*Nouveau – Le guide de renforcement de la sécurité et de bonnes pratiques pour VSA sur site a été publié et peut être consulté à l'adresse suivante : https://helpdesk.kaseya.com/hc/en-gb/articles/4403760102417

Rappels :

Si vous n'avez pas encore consulté les guides d'exploitation pour la prochaine version, vous trouverez ci-dessous les liens correspondants :

Guide d'exploitation VSA sur site : https://helpdesk.kaseya.com/hc/en-gb/articles/4403709150993

Guide d'utilisation VSA SaaS : https://helpdesk.kaseya.com/hc/en-gb/articles/4403709476369

Dan Timpson, directeur technique de Kaseya, fait le point sur l'avancement du projet VSA et présente les prochaines étapes - 8 juillet 2021, 17 h 00 (heure de l'Est)

Les équipes techniques de Kaseya et et leurs partenaires travaillent sans relâche pour aider les clients touchés à reprendre leurs activités. CTO Dan Timpson parle de l’ agence, de la gestion des incidents et des partenaires de recherche qui assistent les équipes internes de Kaseya pour garantir les plus hauts niveaux de sécurité avant la mise en service et décrit les mesures prises par Kaseya pour garantir que ses clients VSA puissent se reconnecter en toute sécurité. Il aborde également l’impact limité sur VSA au sein de la IT Complete et la conception compartimentée intentionnelle qui garantitla sécurité des 26 modules restants de lasur la plate-forme. 

Juillet 8, 2021 - 1:30 après-midi (heure de l'Est)

Nous avons publié plus tôt dans la journée une vidéo de notre PDG faisant le point sur le calendrier de déploiement des correctifs, comme suit :

Le dimanche11 juillet à 16 h (heure de l'Est), le correctif sur site sera disponible et nous commencerons son déploiement sur notre infrastructure VSA SaaS.

Notre directeur technique publiera plus tard dans la soirée une mise à jour vidéo qui sera envoyée par e-mail aux clients VSA afin d'apporter des précisions techniques supplémentaires. Nous continuerons à publier quotidiennement des mises à jour sous forme de textes et de vidéos rédigées par nos dirigeants à l'approche de la sortie prévue ce dimanche.

Nous avons également mis à jour nos guides opérationnels afin d'aider nos clients à se préparer au déploiement et à la reprise du service. Si vous n'avez pas encore consulté ces guides, veuillez vous assurer de consulter les liens ci-dessous (veuillez noter que nous vous enverrons des notifications dans nos prochains e-mails si ces guides sont mis à jour avec des informations supplémentaires) :

À l'attention de nos clients VSA On-Premises, nous avons publié un guide pratique détaillant les modifications à apporter à votre environnement sur site afin que vous puissiez vous préparer à la publication du correctif. Voici le lien vers ce guide (https://helpdesk.kaseya.com/hc/en-gb/articles/4403709150993).

À l'intention de nos clients VSA SaaS, nous avons publié un guide pratique pour vous aider à vous préparer aux mesures à prendre une fois que l'environnement SaaS sera de nouveau opérationnel, à l'adresse suivante : https://helpdesk.kaseya.com/hc/en-gb/articles/4403709476369

Juillet 7, 2021 - 9:45 après-midi (heure de l'Est)

À l'attention de nos clients VSA On-Premises, nous avons publié un guide pratique détaillant les modifications à apporter à votre environnement sur site afin que vous puissiez vous préparer à la publication du correctif. Voici le lien vers ce guide(https://helpdesk.kaseya.com/hc/en-gb/articles/4403709150993). 

Nous sommes actuellement en train de revoir le calendrier de déploiement de VSA SaaS et de VSA sur site. Nous vous prions de bien vouloir nous excuser pour ce retard et ces modifications de planning, alors que nous nous adaptons à cette situation en constante évolution.

Notre PDG publiera plus tard dans la soirée une mise à jour sous forme de vidéo, qui sera envoyée par e-mail aux clients de VSA afin d'apporter des précisions supplémentaires.

Message important de Fred Voccola, PDG de Kaseya - 7 juillet 2021, 20 h 00 (heure de l'Est)

Juillet 7, 2021 - 7:00 après-midi (heure de l'Est)

Nous sommes actuellement en train de revoir le calendrier de déploiement de VSA SaaS et de VSA sur site. Nous vous prions de bien vouloir nous excuser pour ce retard et ces modifications de planning, alors que nous nous adaptons à cette situation en constante évolution.

Notre PDG publiera plus tard dans la soirée une mise à jour sous forme de vidéo, qui sera envoyée par e-mail aux clients de VSA afin d'apporter des précisions supplémentaires.

Pour nos clients VSA On-Premises, nous publierons ce soir sur ce site un guide détaillant les modifications à apporter à votre environnement sur site, afin que vous puissiez vous préparer à la mise à jour.

Juillet 7, 2021 - 3:00 après-midi (heure de l'Est)

Le guide détaillé permettant de préparer la mise en œuvre de VSA sur site pour la nouvelle version est en cours de finalisation. Ce guide vous sera envoyé par e-mail et sera publié sur notre site Web d'assistance.   

Le guide d'exécution comprend les éléments suivants :  

  • Étapes à suivre pour isoler le serveur VSA du réseau et d'Internet 
    • Comment utiliser l'outil de détection  
      • Vous trouverez ci-dessous le lien vers l'outil de détection, qui a été ajouté lors des mises à jour précédentes 
  • Étapes à suivre pour mettre à jour votre système d'exploitation et vous assurer qu'il est à jour 
  • Examen détaillé des modifications à apporter à IIS  
  • Comment télécharger l'agent FireEye sur le serveur VSA 
  • Comment installer l'agent FireEye sur le serveur VSA 
  • Vérification finale de la liste de contrôle avant l'installation de la nouvelle version de VSA 

La prochaine mise à jour pour les clients VSA sur site est prévue ce soir à 18 h. Cette mise à jour comprendra les informations relatives à la date de sortie de la nouvelle version de VSA pour les clients VSA sur site. 

Juillet 7, 2021 - 12:00 après-midi (heure de l'Est)

Mise à jour de VSA sur site

  • Pour les clients utilisant une installation sur site, nous publierons aujourd'hui, avant 15 h (heure de la côte Est des États-Unis), un guide détaillant les modifications à apporter à votre environnement sur site afin que vous puissiez vous préparer à la publication du correctif.
  • Nous actualiserons les informations concernant la date de disponibilité prévue du correctif VSA On-Premises d'ici 17 h (heure de la côte Est des États-Unis) aujourd'hui.

Mise à jour VSA SaaS

  • Au cours du déploiement de VSA SaaS, un problème a été détecté, ce qui a entraîné le blocage de la mise en service. Nous sommes en train de résoudre ce problème, qui concerne notre infrastructure SaaS, et nous prévoyons de commencer à rétablir les services SaaS au plus tard dans la soirée du jeudi8 juillet, heure des États-Unis.

7, 2021 - 8:00 juillet, à 7 h EDT

Comme nous vous l'avons indiqué dans notre dernière mise à jour, un problème a malheureusement été détecté lors du déploiement de la mise à jour VSA, ce qui a bloqué la publication. Nous n'avons pas encore réussi à résoudre ce problème. Les équipes de R&D et d'exploitation ont travaillé toute la nuit et continueront à le faire jusqu'à ce que nous ayons débloqué la publication. Nous vous tiendrons informés de l'évolution de la situation à 12 h 00 (heure de la côte Est des États-Unis).

Juillet 6, 2021 - 10:00 après-midi (heure de l'Est)

Au cours du déploiement de VSA SaaS, un problème a été détecté, ce qui a entraîné le blocage de la mise en service. Malheureusement, le déploiement de VSA SaaS ne pourra pas être achevé dans les délais initialement annoncés. Nous vous prions de nous excuser pour ce retard. Nos équipes de R&D et d'exploitation travaillent sans relâche pour résoudre ce problème et rétablir le service. Nous vous communiquerons une mise à jour de la situation à 8 h (heure de la côte Est des États-Unis).

Juillet 6, 2021 - 7:30 après-midi (heure de l'Est)

Le produit VSA de Kaseya a malheureusement été victime d’une cyberattaque sophistiquée.   Grâce à la réaction rapide de nos équipes, nous pensons que cette attaque a été limitée à un très petit nombre desur site.  

Nos équipes chargées de la sécurité, de l'assistance, de la R&D, de la communication et du service client continuent de travailler sans relâche partout dans le monde pour résoudre le problème et rétablir le service pour nos clients. 

Cette mise à jour fournit des précisions supplémentaires sur le 6 juillet 2021 5 h EDT (heure de l'Est) et des mises à jour précédentes.    

  • Les aspects techniques du déploiement SaaS a commencé à 16 h 00 (heure de l'Est) et se poursuivra pendant les prochaines heures, sauf imprévu.     
  • Nous mettons en place une couche de sécurité supplémentaire au sein de notre infrastructure SaaS, ce qui entraînera une modification de l'adresse IP sous-jacente de nos serveurs VSA (les noms de domaine et les URL resteront inchangés). Pour la quasi-totalité de nos clients, ce changement se fera de manière transparente.  Toutefois, si et seulement si vous avez ajouté votre serveur Kaseya VSA à la liste blanche de votre ou vos pare-feu, vous devrez mettre à jour cette liste blanche. Les nouvelles adresses IP sont disponibles à l'adresse suivante : https://www.cloudflare.com/ips/ 
  • Aucun service SaaS VSA n'est disponible en ligne à 19 h 30. Les mesures de sécurité renforcées sont actuellement mises en place et leur bon fonctionnement est en cours de vérification.  Une fois qu'elles seront opérationnelles, nous publierons le calendrier de disponibilité de VSA.   Nous mettrons à jour la page Web d'assistance toutes les heures à l'adresse https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689 
  • Notre délai de mise à jour pour les solutions sur site est de 24 heures (ou moins) à compter de la reprise des services SaaS. Nous nous efforçons de réduire ce délai au strict minimum ; toutefois, si des problèmes sont détectés lors de la remise en service des services SaaS, nous tenons à les résoudre avant de rétablir l'accès à nos clients sur site. 

Avis maintenu 

  • Tous les serveurs VSA sur site doivent rester hors ligne jusqu'à ce que Kaseya donne de nouvelles instructions concernant le moment où il sera possible de reprendre les opérations en toute sécurité. Il sera nécessaire d'installer un correctif avant de redémarrer le serveur VSA, ainsi qu'une série de recommandations visant à renforcer votre niveau de sécurité. 
  • Nos experts externes nous ont informés que les clients victimes d'une attaque par ransomware et qui reçoivent des messages de la part des pirates ne doivent cliquer sur aucun lien, car ceux-ci pourraient être malveillants. 

Juillet 6, 2021 - 5:00 après-midi (heure de l'Est)

Les travaux avancent bien. La prochaine mise à jour sera publiée d'ici 18 h.

Juillet 6, 2021 - 12:00 après-midi (heure de l'Est)

Prochaine mise à jour est prévue pour être publiée juillet le 6juillet entre 14h PM et 17:00 17 h (heure de l'Est).

Le produit VSA de Kaseya a malheureusement été victime d'une cyberattaque sophistiquée. Grâce à la réaction rapide de nos équipes, nous pensons que cet incident a été circonscrit à un très petit nombre de clients utilisant une installation sur site.

Nos équipes chargées de la sécurité, de l'assistance, de la R&D, de la communication et du service client continuent de travailler sans relâche partout dans le monde pour résoudre le problème et rétablir le service pour nos clients.

Cette mise à jour apporte des précisions supplémentaires concernant la mise à jour du 5 juillet 2021 à 21 h 30 (heure de l'Est) ainsi que les mises à jour précédentes.

  • Notre calendrier de mise en service des serveurs SaaS a été repoussé de deux heures : celle-ci aura désormais lieu le 6 juillet, entre 16 h 00 et 19 h 00 (heure de l'Est), en raison de modifications de configuration et de la mise en place de mesures de sécurité renforcées.
  • Notre délai de mise à jour pour les environnements sur site est de 24 heures (ou moins) à compter de la restauration des services SaaS. Nous nous efforçons de réduire ce délai au minimum, mais si des problèmes sont détectés lors de la remise en service des services SaaS, nous souhaitons les résoudre avant de rétablir l'accès à nos clients sur site.
  • Les mesures de sécurité renforcées qui seront mises en place sont les suivantes :
    • Un centre d'opérations de sécurité (SOC) indépendant disponible 24 h/24 et 7 j/7 pour chaque VSA, capable de mettre en quarantaine et d'isoler des fichiers ainsi que des serveurs VSA entiers.
    • Un CDN avec WAF inclus pour chaque VSA (y compris les installations sur site qui ont choisi d'y adhérer et souhaitent l'utiliser – plus de détails seront disponibles dans une note de la base de connaissances plus tard dans l'après-midi).
    • Les clients qui ont ajouté des adresses IP à leur liste blanche devront ajouter d'autres adresses IP à cette liste.
    • Un nouvel article de la base de connaissances consacré au SOC, au CDN et aux listes blanches sera publié dans le courant de l'après-midi et mis en lien vers cet article sur le site Web de Kaseya.
    • Réduit considérablement la surface d'attaque globale de Kaseya VSA.
  • Dans le courant de la journée, nous publierons un communiqué destiné à vos clients, que vous pourrez utiliser pour les informer de cet incident et des mesures de sécurité que nous avons mises en place.
  • Un outil de détection des compromissions peut être téléchargé via le lien suivant : VSA Detection Tool | Powered by Box. Cet outil fait l'objet d'améliorations constantes ; veuillez donc consulter le site de téléchargement pour obtenir la dernière version.
  • Mise à jour concernant l'incident – pour plus de détails, cliquez ici : Présentation de l'incident et détails techniques – Kaseya
  • À ce jour, nous avons recensé moins de 60 clients de Kaseya, qui utilisaient tous la version sur site du produit VSA, ayant été directement touchés par cette attaque. Bien que bon nombre de ces clients fournissent des services informatiques à de nombreuses autres entreprises, nous estimons que l'impact total s'est jusqu'à présent limité à moins de 1 500 entreprises en aval.
  • Nous n'avons trouvé aucune preuve indiquant que l'un de nos clients SaaS ait été victime d'une intrusion.
  • VSA est le seul produit Kaseya concerné par cette attaque ; tous IT Complete autres IT Complete ne sont pas affectés.

Avis maintenu

  • Tous les serveurs VSA sur site doivent rester hors ligne jusqu'à ce que Kaseya fournisse de nouvelles instructions indiquant quand il sera possible de reprendre les opérations en toute sécurité. Il sera nécessaire d'installer un correctif avant de redémarrer le serveur VSA, ainsi qu'une série de recommandations visant à renforcer votre niveau de sécurité.
  • Nos experts externes nous ont informés que les clients victimes d'une attaque par ransomware et qui reçoivent des messages de la part des pirates ne doivent cliquer sur aucun lien, car ceux-ci pourraient être malveillants.

Juillet 5, 2021 - 9:30 après-midi (heure de l'Est)

La prochaine mise à jour devrait être publiéele 6 juillet entre 8 h et 12 h (heure de l'Est).  

Le produit VSA de Kaseya a malheureusement été victime d'une cyberattaque sophistiquée. Grâce à la réaction rapide de nos équipes, nous pensons que cet incident a été limité à un très petit nombre de clients utilisant une installation sur site.

Nos équipes chargées de la sécurité, de l'assistance, de la R&D, de la communication et du service client continuent de travailler sans relâche partout dans le monde pour résoudre le problème et rétablir le service pour nos clients.

Cette mise à jour apporte des précisions supplémentaires concernant la mise à jour du 5 juillet 2021 à 13 h (heure de l'Est) ainsi que les mises à jour précédentes.

  • Le point sur l'incident
    • Dans un souci de transparence envers nos clients, Kaseya communique les informations relatives à la récente attaque par ransomware dans un document intitulé « Aperçu de l'incident et détails techniques », disponible via ce lien.
    • À ce jour, nous avons recensé moins de 60 clients de Kaseya, qui utilisaient tous la version sur site du produit VSA, ayant été directement touchés par cette attaque. Bien que bon nombre de ces clients fournissent des services informatiques à de nombreuses autres entreprises, nous estimons que l'impact total s'est jusqu'à présent limité à moins de 1 500 entreprises en aval. Nous n'avons trouvé aucune preuve indiquant que nos clients SaaS aient été touchés.
    • Nous n'avons reçu aucun nouveau signalement de violation concernant les clients de VSA depuis le samedi3 juillet.
    • VSA est le seul produit Kaseya concerné par cette attaque ; tous IT Complete autres IT Complete ne sont pas affectés.
    • Un article de Reuters revient sur cet incident – lien
  • Notre comité de direction s'est réuni cet après-midi à 18 h 30 (heure de la côte Est) afin de redéfinir le calendrier et la procédure visant à rétablir l'accès à nos services pour nos clients SaaS et sur site.
    • Le correctif destiné aux clients sur site a été développé et fait actuellement l'objet d'une phase de test et de validation. Nous prévoyons que ce correctif sera disponible dans les 24 heures suivant la remise en service de nos serveurs SaaS.
    • Selon les estimations actuelles, nos serveurs SaaS devraient être remis en servicele 6 juillet entre 14 h et 17 h (heure de l'Est). La décision finale quant à la poursuite ou non des opérations sera prise demain matin entre 8 h et 12 h (heure de l'Est). Ces horaires sont susceptibles d'être modifiés au fur et à mesure que nous procéderons aux derniers tests et à la validation.
  • Nous allons déployer VSA par étapes afin de rétablir plus rapidement nos services. La première version bloquera l'accès aux fonctionnalités utilisées par une très faible partie de notre base d'utilisateurs, notamment :
    • Billetterie classique
    • Télécommande classique (pas LiveConnect).
    • Portail utilisateur
  • Kaseya a rencontré ce soir le FBI et la CISA afin de discuter des exigences en matière de renforcement de la sécurité des systèmes et des réseaux avant la reprise du service, tant pour les clients SaaS que pour ceux disposant d'une infrastructure sur site. Une liste d'exigences sera publiée avant la reprise du service afin de laisser à nos clients le temps de mettre en place ces mesures de sécurité en prévision de la reprise du service le6 juillet.
  • Une nouvelle version de l'outil de détection des compromissions peut être téléchargée via le lien suivant : VSA Detection Tools.zip | Propulsé par Box
    • Cet outil analyse un système (qu'il s'agisse d'un serveur VSA ou d'un terminal géré) et détermine s'il présente des indicateurs de compromission (IoC).
    • La dernière version recherche les indicateurs de compromission, le chiffrement des données et la note de rançon REvil. Nous vous recommandons de réexécuter cette procédure afin de déterminer avec plus de certitude si le système a été compromis par REvil.
    • Depuis vendredi, plus de 2 000 clients ont téléchargé cet outil.

Avis maintenu

  • Tous les serveurs VSA sur site doivent rester hors ligne jusqu'à ce que Kaseya fournisse de nouvelles instructions indiquant quand il sera possible de reprendre les opérations en toute sécurité. Il sera nécessaire d'installer un correctif avant de redémarrer le serveur VSA, ainsi qu'une série de recommandations visant à renforcer votre niveau de sécurité.
  • Nos experts externes nous ont informés que les clients qui ont été victimes d'une attaque par ransomware et qui reçoivent des messages de la part des pirates ne doivent cliquer sur aucun lien, car ceux-ci pourraient être malveillants.

5 juillet 2021 - 13 h 00 EDT [Mis à jour à 18 h 30 EDT]

La prochaine mise à jour devrait être publiéele 5 juillet entre 17 h et 19 h (heure de l'Est).

Le produit VSA de Kaseya a malheureusement été victime d'une cyberattaque sophistiquée. Grâce à la réaction rapide de nos équipes, nous pensons que cet incident a été limité à un très petit nombre de clients utilisant une installation sur site.

Nos équipes chargées de la sécurité, de l'assistance, de la R&D, de la communication et du service client continuent de travailler sans relâche partout dans le monde pour résoudre le problème et rétablir le service pour nos clients.

Cette mise à jour apporte des précisions supplémentaires concernant la mise à jour du 4 juillet 2021 à 23 h 00 (heure de l'Est) et les mises à jour précédentes.

  • Nous publierons un communiqué distinct contenant davantage de détails techniques sur cet incident afin d'aider nos clients et les chercheurs en sécurité dans l'après-midi du5 juillet.
  • Mises à jour concernant le calendrier de restauration du SaaS – MISE À JOUR
    • Notre comité exécutif s'est réuni ce matin à 8 h 00 (heure de la côte Est), et afin de réduire au maximum les risques pour nos clients, il a estimé qu'il fallait davantage de temps avant de remettre les centres de données en service.
    • Ils ont décidé de se réunir à nouveau cet après-midi, à 15 h (heure de l'Est), afin de redéfinir le calendrier de reprise des opérations visant à remettre nos centres de données en service. Nous communiquerons un calendrier actualisé aujourd'hui (5 juillet), entre 17 h et 19 h (heure de l'Est).
    • Nous sommes actuellement en train de déployer une infrastructure de surveillance de la sécurité améliorée et testons les processus révisés de gestion des incidents ainsi que les contrôles de gestion des performances afin de garantir à nos clients un niveau de service satisfaisant.
    • La prochaine mise à jour aura lieu plus tard dans la soirée (heure de l'Est) après la reprise de la réunion du comité exécutif.
  • Mises à jour du calendrier des correctifs sur site – NOUVEAU
    • Nous développons actuellement le nouveau correctif destiné aux clients sur site parallèlement à la restauration du centre de données SaaS. Nous le déployons d'abord dans l'environnement SaaS, car nous contrôlons tous les aspects de cet environnement. Une fois cette opération lancée, nous publierons le calendrier de distribution du correctif pour les clients sur site.
  • L'outil de détection des compromissions peut être téléchargé via le lien suivant : VSA Detection Tools.zip | Propulsé par Box. Cet outil analyse un système (qu'il s'agisse d'un serveur VSA ou d'un terminal géré) et détermine si des indicateurs de compromission (IoC) sont présents.

Avis maintenu

  • Tous les serveurs VSA sur site doivent rester hors ligne jusqu'à ce que Kaseya fournisse de nouvelles instructions indiquant quand il sera possible de reprendre les opérations en toute sécurité. Il sera nécessaire d'installer un correctif avant de redémarrer le serveur VSA, ainsi qu'une série de recommandations visant à renforcer votre niveau de sécurité.
  • Nos experts externes nous ont informés que les clients qui ont été victimes d'une attaque par ransomware et qui reçoivent des messages de la part des pirates ne doivent cliquer sur aucun lien, car ceux-ci pourraient être malveillants.

5, 2021 - 11:00 juillet, à 5 h EDT

Une mise à jour de cette information sera publiée dans le courant de la journée. Veuillez revenir consulter cette page vers 13 h (heure de l'Est).

 

Juillet 4, 2021 - 11:00 après-midi (heure de l'Est)

La prochaine mise à jour devrait être publiéele 5 juillet au matin (heure de la côte Est des États-Unis). Elle sera disponible sur le site Web d'assistance de Kaseya.com (lien ici) avant l'envoi de l'e-mail. Consulter ce lien est le moyen le plus rapide de vous assurer que vous disposez des dernières informations de Kaseya.

Le produit VSA de Kaseya a malheureusement été victime d'une cyberattaque sophistiquée. Grâce à la réaction rapide de nos équipes, nous pensons que cet incident a été limité à un très petit nombre de clients utilisant une installation sur site.

Nos équipes chargées de la sécurité, de l'assistance, de la R&D, de la communication et du service client continuent de travailler sans relâche partout dans le monde pour résoudre le problème et rétablir le service pour nos clients.

Cette mise à jour apporte des précisions supplémentaires concernant la mise à jour du 4 juillet 2021 à 17 h 45 (heure de l'Est) et les mises à jour précédentes.

  • Mises à jour concernant le calendrier de restauration du SaaS – MISE À JOUR
    • Notre comité de direction s'est réuni à 22 h 00 (heure de l'Est) et, afin de réduire au maximum les risques pour nos clients, a estimé qu'il fallait attendre encore un peu avant de remettre les centres de données en service.
    • Ils ont décidé de se réunir à nouveau demain matin à 8 h 00 (heure de la côte Est) afin de revoir le calendrier, l'objectif étant de lancer le processus de restauration pour remettre nos centres de données en service d'ici la fin de la journée du5 juillet, heure locale (UTC) – mais ce délai dépend de la réalisation de certains objectifs clés au cours de la nuit.
    • La prochaine mise à jour aura lieu demain matin (heure de la côte Est) après la reprise de la réunion du comité exécutif.
  • Mises à jour du calendrier des correctifs sur site – NOUVEAU
    • Une fois que nous aurons lancé le processus de restauration du centre de données SaaS (voir les mises à jour du calendrier de restauration SaaS ci-dessus), nous publierons le calendrier de déploiement du correctif pour les clients sur site.

Avis maintenu

  • Tous les serveurs VSA sur site doivent rester hors ligne jusqu'à ce que Kaseya fournisse de nouvelles instructions indiquant quand il sera possible de reprendre les opérations en toute sécurité. Il sera nécessaire d'installer un correctif avant de redémarrer le serveur VSA, ainsi qu'une série de recommandations visant à renforcer votre niveau de sécurité.
  • Nos experts externes nous ont informés que les clients qui ont été victimes d'une attaque par ransomware et qui reçoivent des messages de la part des pirates ne doivent cliquer sur aucun lien, car ceux-ci pourraient être malveillants.
  • Le nouvel outil de détection des compromissions peut être téléchargé via le lien suivant : VSA Detection Tools.zip. Cet outil analyse un système (qu'il s'agisse d'un serveur VSA ou d'un terminal géré) et détermine si des indicateurs de compromission (IoC) sont présents.

Juillet 4, 2021 - 5:30 après-midi (heure de l'Est)

La prochaine mise à jour sera publiéele 4 juillet, très tard dans la soirée (heure de la côte Est). Consulter ce lien est le moyen le plus rapide de vous assurer que vous disposez des dernières informations de Kaseya.

Le produit VSA de Kaseya a malheureusement été victime d'une cyberattaque sophistiquée. Grâce à la réaction rapide de nos équipes, nous pensons que cet incident a été limité à un très petit nombre de clients utilisant une installation sur site.

Nos équipes chargées de la sécurité, du support, de la R&D, de la communication et du service client continuent de travailler sans relâche partout dans le monde pour résoudre le problème et rétablir le service pour nos clients.

Cette mise à jour apporte des précisions supplémentaires concernant la mise à jour du 4 juillet 2021 à 10 h 00 (heure de la côte Est) et les mises à jour précédentes.

Nos efforts ne portent plus sur l'analyse des causes profondes et la réduction de la vulnérabilité, mais sur la mise en œuvre de notre plan de rétablissement des services. Ce plan comprendra les étapes suivantes :

  • Communication de notre plan de reprise par étapes, d'abord aux clients SaaS, puis aux clients sur site.
    • Dans un souci de divulgation responsable, Kaseya publiera un résumé de l'attaque et des mesures que nous avons prises pour en limiter les effets.
    • Par mesure de précaution, certaines fonctionnalités héritées de VSA peu utilisées seront supprimées dans le cadre de cette version. Une liste détaillée de ces fonctionnalités et de leur impact sur les capacités de VSA sera fournie dans les notes de mise à jour.
    • De nouvelles mesures de sécurité seront mises en place, notamment une surveillance renforcée de nos serveurs SaaS par FireEye et l'activation de fonctionnalités WAF améliorées.
    • Nous avons mené à bien un scan de vulnérabilité externe, vérifié la présence d'indicateurs de compromission dans nos bases de données SaaS et fait examiner notre code par des experts en sécurité externes afin de garantir le bon redémarrage du service.
  • Mises à jour du calendrier de restauration du SaaS
    • Notre comité exécutif se réunira le 5 juilletle à 5 h 00 UTC (0 h 00 EDT) afin de prendre une décision quant à la possibilité de redémarrer le SaaS dans les créneaux horaires suivants :
      • Centres de données de l'UE, du Royaume-Uni et de la région Asie-Pacifique : du 5 juillet, de 9 h 00 UTC à 13 h 00 UTC (de 4 h 00 EDT à 8 h 00 EDT)
      • Centres de données d'Amérique du Nord : 5 juillet – 17 h 00 EDT – 22 h 00 EDT
    • Ces horaires et dates sont susceptibles d'être modifiés ; une mise à jour sera publiée sur le site web avant 1 h 00 UTC pour indiquer si nous respectons ou non le calendrier ci-dessus. Dans le cas contraire, nous publierons un calendrier révisé à ce moment-là.
  • À l'attention de nos utilisateurs SaaS :
    • Nous remettrons progressivement en service nos centres de données SaaS, en commençant par ceux situés dans l'Union européenne, au Royaume-Uni et dans la région Asie-Pacifique, puis par ceux d'Amérique du Nord.
    • Nous allons renforcer la sécurité de notre infrastructure SaaS, ce qui entraînera une modification des adresses IP sous-jacentes de nos serveurs VSA.
  • À l'attention de nos utilisateurs sur site
    • Nous travaillons actuellement à la mise au point de notre version sur site afin de la mettre à la disposition de nos clients. Nous commencerons à communiquer sur le processus de déploiement de cette version le 5 juillet.
    • Nous travaillons actuellement sur un programme visant à étendre nos nouvelles mesures de sécurité à nos clients utilisant une solution sur site. La plupart des détails à ce sujet seront disponibles avant la publication du correctif pour la version sur site.

Avis maintenu

  • Tous les serveurs VSA sur site doivent rester hors ligne jusqu'à ce que Kaseya fournisse de nouvelles instructions indiquant quand il sera possible de reprendre les opérations en toute sécurité. Un correctif devra être installé avant de redémarrer le serveur VSA, et une série de recommandations sera fournie pour renforcer la sécurité.
  • Nos experts externes nous ont informés que les clients qui ont été victimes d'une attaque par ransomware et qui reçoivent des messages de la part des pirates ne doivent cliquer sur aucun lien, car ceux-ci pourraient être malveillants.
  • Le nouvel outil de détection des compromissions peut être téléchargé via le lien suivant : VSA Detection Tools.zip | Propulsé par Box. Cet outil analyse un système (qu'il s'agisse d'un serveur VSA ou d'un terminal géré) et détermine si des indicateurs de compromission (IoC) sont présents.

4, 2021 - 10:00 juillet, à 4 h EDT

La prochaine mise à jour sera publiée le 4 juillet en début d'après-midi (heure de l'Est)

Le produit VSA de Kaseya a malheureusement été victime d’une cyberattaque sophistiquée.   Grâce à la réaction rapide de nos équipes, nous pensons que cette attaque a été circonscrite à un très petit nombre de clients sur site uniquement.
Cette mise à jour fournit des détails supplémentaires sur la mise à jour de 13h30 EDT. Les modifications sont soulignées pour plus de clarté.

Nos équipes chargées de la sécurité, de l'assistance et du service client continuent de travailler sans relâche partout dans le monde tout au long du week-end afin de résoudre le problème et de rétablir le service pour nos clients.

Cette mise à jour apporte des précisions supplémentaires concernant les mises à jour du 3 juillet 2021 à 19 h 30 et 21 h 00 (heure de l'Est). Les modifications sont soulignées pour plus de clarté.

Avis maintenu

  • Les serveurs VSA hébergés seront remis en service dès que Kaseya aura déterminé que nous pouvons rétablir les opérations en toute sécurité. Nous sommes en train de mettre en place une reprise progressive du service de nos parcs de serveurs SaaS, avec des fonctionnalités limitées et un niveau de sécurité renforcé (prévu dans les prochaines 24 à 48 heures, mais ce délai est susceptible de changer), sur une base géographique. De plus amples détails concernant les limitations, les changements en matière de sécurité et le calendrier seront fournis dans le prochain communiqué, qui sera publié dans le courant de la journée.
  • Tous les serveurs VSA sur site doivent rester hors ligne jusqu'à ce que Kaseya fournisse de nouvelles instructions indiquant quand il sera possible de reprendre les opérations en toute sécurité. Un correctif devra être installé avant de redémarrer le serveur VSA, et une série de recommandations sera fournie pour renforcer la sécurité.
  • Nos experts externes nous ont informés que les clients victimes d'une attaque par ransomware et qui reçoivent des messages de la part des pirates ne doivent cliquer sur aucun lien, car ceux-ci pourraient être malveillants.

Points clés concernant la situation actuelle

  • Le nouvel outil de détection des compromissions a été déployé hier soir auprès de près de 900 clients qui en avaient fait la demande. Sur la base des commentaires de nos clients, nous publierons ce matin une mise à jour de l'outil visant à améliorer ses performances et sa facilité d'utilisation. Aucune modification ne nécessite de relancer l'outil sur les systèmes qui ont déjà été analysés.
    Cette nouvelle version de l'outil de détection des compromissions sera automatiquement envoyée aux clients qui ont reçu la première version. Les nouvelles demandes peuvent être effectuées en envoyant un e-mail à [email protected] avec pour objet « Demande d'outil de détection des compromissions ».
  • Nous mettrons en place un site de téléchargement privé destiné aux clients finaux afin qu'ils puissent accéder à l'outil de détection des compromissions, dès que nous aurons garanti la sécurité, l'intégrité et la traçabilité du processus de téléchargement. Nous vous en dirons plus à ce sujet dans la prochaine mise à jour.
  • Nous continuons à collaborer avec FireEye Mandiant IR (une société de premier plan spécialisée dans la gestion des incidents informatiques) sur cet incident de sécurité. Nos efforts conjoints n’ont permis d’identifier aucun nouvel indicateur de compromission (IoC) depuis hier, et nous avons déployé notre outil de détection des compromissions chez des centaines de clients. À ce stade, aucun « faux positif » n’a été signalé par les utilisateurs. [Remarque : un « faux positif » indique que l'outil de détection des compromissions classe à tort un système comme affecté alors qu'il ne l'était pas]
  • Nous avons collaboré étroitement avec FireEye et d'autres sociétés spécialisées dans l'évaluation de la sécurité afin d'analyser les modalités et les conséquences de l'attaque, et de nous assurer que notre service de R&D a correctement identifié et corrigé cette faille. Nous poursuivons l'enquête parallèlement à la mise en œuvre des mesures correctives.
  • Le service R&D a reproduit le vecteur d'attaque et les mesures d'atténuation sont en cours. Nous prévoyons d'achever ces travaux dans les prochaines 24 à 48 heures, tandis que les tests se poursuivent en parallèle.
  • Fred Voccola, PDG de Kaseya, a été interviewé au sujet de cet incident dans l'émission « Good Morning America » diffusée sur la chaîne ABC le dimanche 4 juillet. L'interview a été considérablement raccourcie par rapport à la version intégrale donnée par Fred. Son message, en résumé, était le suivant : « Nous sommes certains de savoir comment cela s'est produit et nous sommes en train d'y remédier. »
  • Nous sommes en contact avec le FBI et la CISA (Agence de sécurité cybernétique et des infrastructures) du DHS, et nous collaborons avec eux à la mise en place d'un processus de gestion des incidents pour nos clients du monde entier touchés par cette cyberattaque. Le message suivant sera publié sur le site web du FBI :
    « Si vous pensez que vos systèmes ont été compromis à la suite de l'incident lié au ransomware Kaseya, nous vous encourageons à mettre en œuvre toutes les mesures d'atténuation recommandées, à suivre les conseils de Kaseya pour arrêter immédiatement vos serveurs VSA et à signaler la compromission au FBI à l'adresse https://www.IC3.gov. En raison de l'ampleur potentielle de cet incident, nous ne serons peut-être pas en mesure de répondre individuellement à chaque victime, mais toutes les informations que nous recevrons seront utiles pour contrer cette menace. »
  • À l'heure actuelle, nous pensons qu'aucun de nos clients NOC (qu'ils utilisent le modèle SaaS ou une solution sur site) n'a été touché par cette attaque. Nous poursuivons notre enquête, mais aucun client NOC n'a été identifié comme ayant été compromis au 4 juillet à 10 h 00 (heure de la côte Est des États-Unis).
  • Les responsables de Kaseya prennent directement contact avec les clients concernés afin de cerner leur situation et de déterminer l'aide qui peut leur être apportée. Si vous pensez être concerné, veuillez envoyer un e-mail à [email protected] en indiquant en objet « Rapport d'incident de sécurité ». Aucun nouveau cas de compromission n'a été signalé depuis notre dernier rapport publié hier. Nous sommes convaincus d'avoir cerné l'ampleur du problème et travaillons en partenariat avec chaque client pour mettre tout en œuvre afin d'y remédier. Nous estimons qu'il n'existe actuellement aucun risque pour les clients VSA utilisant une solution SaaS ou pour les clients VSA sur site dont le serveur est hors ligne.

Juillet 3, 2021 - 9:00 après-midi (heure de l'Est)

Le produit VSA de Kaseya a malheureusement été victime d'une cyberattaque sophistiquée. Grâce à la réaction rapide de nos équipes, nous pensons que cet incident a été circonscrit à un très petit nombre de clients utilisant une installation sur site.

Cette mise à jour apporte des précisions supplémentaires par rapport à celle publiée à 13 h 30 (heure de l'Est). Les modifications sont soulignées pour plus de clarté.

Points clés concernant la situation actuelle :

  • Tous les serveurs VSA sur site doivent rester hors ligne jusqu’à ce que Kaseya donne de nouvelles instructions concernant le moment où il sera possible de reprendre les opérations en toute sécurité. Un correctif devra être installé avant de redémarrer le serveur VSA. Nous prévoyons de communiquer une première estimation du délai dans la mise à jour de demain matin, vers 9 h 00 (heure de l’Est).
  • Les services SaaS et les serveurs VSA hébergés seront remis en service dès que Kaseya aura déterminé que nous pouvons rétablir le fonctionnement en toute sécurité.
  • Nos experts externes nous ont informés que les clients victimes d'une attaque par ransomware et qui reçoivent des messages de la part des pirates ne doivent cliquer sur aucun lien, car ceux-ci pourraient être malveillants.
  • Un outil de détection des compromissions sera mis à la disposition des clients Kaseya VSA dans le courant de la soirée. Pour l'obtenir, il suffit d'envoyer un e-mail à [email protected] avec pour objet « Demande d'outil de détection des compromissions » depuis une adresse e-mail associée à un compte client VSA.
  • Compte tenu de la mise à disposition de l'outil de détection des compromissions, nous recommandons vivement aux clients concernés de lancer immédiatement le processus de restauration.
  • Fred Voccola, PDG de Kaseya, sera interviewé au sujet de cet incident dans l'émission « Good Morning America » diffusée sur la chaîne ABC le dimanche 4 juillet. Veuillez consulter le programme télévisé local pour connaître les horaires dans votre région. (Ces horaires sont susceptibles d'être modifiés à la dernière minute par la chaîne.)
  • Les responsables de Kaseya prennent directement contact avec les clients concernés afin de cerner leur situation et de déterminer l'aide qui peut leur être apportée. Si vous pensez être concerné, veuillez contacter [email protected] en indiquant en objet « Rapport d'incident de sécurité ». Un seul nouveau cas de compromission a été signalé aujourd'hui, lié au fait qu'un serveur VSA sur site était resté allumé. Nous sommes convaincus d'avoir cerné l'étendue du problème et travaillons en collaboration avec chaque client pour mettre tout en œuvre afin d'y remédier. Nous estimons qu'il n'existe actuellement aucun risque pour les clients VSA utilisant une solution SaaS ou pour les clients VSA sur site dont le serveur est éteint.
  • Nous avons fait appel à une société spécialisée dans la gestion des incidents informatiques (FireEye Mandiant IR) afin d'identifier les indicateurs de compromission (IoC) et de nous assurer que nous pouvons déterminer quels systèmes et quelles données ont été compromis. Nous avons identifié une série d'IoC préliminaires et travaillons actuellement avec nos clients concernés pour les valider. La mise à disposition de l'outil de détection des compromissions repose sur nos échanges avec nos experts externes.
  • Nous avons collaboré étroitement avec FireEye et d'autres sociétés spécialisées dans l'évaluation de la sécurité afin d'analyser les modalités et les conséquences de l'attaque, et de nous assurer que notre service de R&D a correctement identifié et corrigé cette faille.
  • Le service R&D a reproduit le vecteur d'attaque et s'efforce actuellement de le neutraliser. Nous avons entamé le processus de correction du code et publierons dès demain matin des mises à jour régulières sur l'avancement de nos travaux. Une fois ces travaux terminés et la solution testée de manière approfondie dans notre environnement, nous commencerons à collaborer avec certains clients pour tester les modifications en conditions réelles. Nous ne communiquerons pas de délai de résolution tant que nous n'aurons pas validé et testé de manière exhaustive la solution proposée.
  • À l'heure actuelle, nous pensons qu'aucun de nos clients NOC (qu'ils utilisent une solution SaaS ou une solution sur site) n'a été touché par cette attaque. Nous poursuivons notre enquête, mais aucun client NOC n'a été identifié comme ayant été compromis à 19 h 00 (heure de l'Est).
  • Nous avons pris contact avec le FBI et collaborons avec lui à la mise en place d'un processus de gestion des incidents destiné à nos clients du monde entier touchés par cette cyberattaque.

Juillet 3, 2021 - 1:30 après-midi (heure de l'Est)

Kaseya traite cet incident de sécurité en menant plusieurs actions parallèles :

  • La sécurité de nos clients étant notre priorité absolue, nous continuons à recommander vivement à nos clients disposant de serveurs VSA sur site de les laisser hors ligne jusqu'à nouvel ordre. Nous maintiendrons également nos serveurs SaaS hors ligne jusqu'à nouvel ordre.
  • Nos experts externes nous ont informés que les clients victimes d'un ransomware et qui reçoivent des messages de la part des pirates ne doivent cliquer sur aucun lien, car ceux-ci pourraient être malveillants.
  • Nous avons pris contact avec le FBI et collaborons avec lui à la mise en place d'un processus de gestion des incidents destiné à nos clients du monde entier touchés par cette cyberattaque. Nous publierons une liste de contacts dans le courant de la journée.
  • Les responsables de Kaseya prennent directement contact avec les clients concernés afin de cerner leur situation et de déterminer quelle aide peut leur être apportée. Toute personne estimant être concernée est invitée à envoyer un e-mail à [email protected] en indiquant en objet « Rapport d'incident de sécurité ».
  • Nous continuons à collaborer avec des experts du secteur afin d'évaluer les modalités et les conséquences de cette attaque, et de nous assurer que notre service de recherche et développement a correctement identifié et corrigé cette faille.
  • Le service R&D a reproduit le vecteur d'attaque et s'efforce actuellement de le neutraliser. Nous ne communiquerons pas de délai de résolution tant que nous n'aurons pas validé et testé de manière approfondie la solution proposée. Nous remercions nos clients de leur patience.
  • Nous avons fait appel à une société spécialisée en informatique légale afin d'identifier les indicateurs de compromission (IOC) et de nous assurer ainsi de pouvoir déterminer quels systèmes et quelles données ont été consultés.
  • Le département R&D travaille actuellement à la mise au point d'un outil d'auto-évaluation destiné à nos clients, afin de leur permettre de déterminer avec certitude s'ils ont été touchés. Cet outil sera publié dans le cadre du correctif destiné aux clients utilisant une installation sur site.

À l'heure actuelle, nous pensons qu'aucun de nos clients NOC (qu'ils utilisent le modèle SaaS ou une solution sur site) n'a été touché par cette attaque. Nous poursuivons notre enquête à ce sujet.

  • TOUS LES SERVEURS VSA HÉBERGÉS SUR SITE DOIVENT RESTER HORS LIGNE JUSQU'À CE QUE KASEYA DONNE DE NOUVELLES INSTRUCTIONS CONCERNANT LE MOMENT OÙ IL SERA SÛR DE REPRENDRE LES OPÉRATIONS. UN CORRECTIF DEVRA ÊTRE INSTALLÉ AVANT DE REDÉMARRER LE VSA.
  • Les serveurs SaaS et VSA hébergés seront remis en service dès que Kaseya aura déterminé que nous pouvons reprendre les opérations en toute sécurité.

3, 2021 - 10:30 juillet, à 3 h EDT

Le produit VSA de Kaseya a malheureusement été victime d'une cyberattaque sophistiquée. Grâce à la réaction rapide de nos équipes, nous pensons que cet incident a été circonscrit à un très petit nombre de clients utilisant une installation sur site.

La sécurité de nos clients étant notre priorité absolue,nous continuons à recommander vivement à nos clients disposant de serveurs VSA sur site de les laisser hors service jusqu'à nouvel ordre.Nous maintiendrons également nos serveurs SaaS hors ligne jusqu'à nouvel ordre.

Nos experts externes nous ont informés que les clients qui ont été victimes d'une attaque par ransomware et qui reçoivent un message des pirates ne doivent cliquer sur aucun lien, car ceux-ci pourraient être malveillants.

Kaseya travaille sans relâche pour résoudre ce problème, tant sur le plan de l'évaluation de la sécurité que de l'assistance à la clientèle, du suivi de l'avancement, de la résolution technique et du retour à la normale.

Une mise à jour complète est en cours de préparation et sera publiée dans le courant de la matinée (heure de l'Est).   Ce communiqué contiendra des informations détaillées sur :

  • Les autorités externes (FBI, experts en gestion des incidents) auxquelles nous avons fait appel et la manière dont nous tirons parti de leur aide ;
  • Comment nos clients peuvent-ils solliciter l'aide de Kaseya et comment pouvons-nous les aider ?
  • Comment déterminer si les clients ont été victimes d'une violation de données ;
  • Mises à jour de la part de l'équipe R&D concernant l'avancement du correctif destiné aux utilisateurs sur site ;
  • Le plan visant à remettre en ligne nos clients SaaS et sur site ;
  • Une description détaillée du processus de gestion des incidents de sécurité et de son état d'avancement actuel ;
  • Un calendrier des mises à jour de communication ;
  • Autres informations importantes concernant le processus de rétablissement.

Des mises à jour seront publiées toutes les 3 à 4 heures, voire plus fréquemment en fonction de l'évolution de la situation.

  1. TOUS LES SERVEURS VSA HÉBERGÉS SUR SITE DOIVENT RESTER HORS LIGNE JUSQU'À NOUVEL ORDRE DE LA PART DE KASEYA.
  2. Les serveurs SaaS et VSA hébergés seront remis en service dès que Kaseya aura déterminé que nous pouvons reprendre les opérations en toute sécurité.

Juillet 2, 2021 - 10:00 après-midi (heure de l'Est)

Vers midi (heure de la côte Est des États-Unis) le vendredi 2 juillet 2021, l'équipe d'intervention en cas d'incident de Kaseya a été informée d'un incident de sécurité potentiel concernant notre logiciel VSA.

Nous avons pris des mesures rapides pour protéger nos clients :

  • Nous avons immédiatement mis hors service nos serveurs SaaS par mesure de précaution, même si aucun de nos clients SaaS ou hébergés ne nous avait signalé de violation de sécurité ;
  • Nous avons immédiatement averti nos clients sur site par e-mail, via des notifications intégrées au produit et par téléphone afin qu'ils arrêtent leurs serveurs VSA et évitent ainsi toute compromission.

Nous avons ensuite suivi notre procédure établie de gestion des incidents afin de déterminer l'ampleur de l'incident et l'étendue de son impact sur nos clients.

  • Nous avons fait appel à notre équipe interne d'intervention en cas d'incident ainsi qu'à des experts de premier plan dans le domaine des enquêtes informatiques afin de nous aider à déterminer la cause profonde du problème ;
  • Nous avons informé les forces de l'ordre et les agences gouvernementales chargées de la cybersécurité, notamment le FBI et la CISA.

Bien que nos premiers indicateurs aient laissé entendre que seul un très petit nombre de clients utilisant nos solutions sur site était concerné, nous avons adopté une approche prudente en mettant hors service les serveurs SaaS afin de garantir la protection de nos plus de 36 000 clients dans la mesure de nos moyens. Nos clients nous ont fait part de leurs retours positifs concernant notre réaction rapide et proactive.

Bien que notre enquête soit toujours en cours, nous estimons à ce jour que :

  • Nos clients SaaS n'ont jamais été exposés à un risque. Nous prévoyons de rétablir le service pour ces clients dès que nous aurons confirmé qu'ils ne courent aucun risque, ce qui devrait intervenir dans les prochaines 24 heures ;
  • Seul un très faible pourcentage de nos clients a été concerné – on estime actuellement ce nombre à moins de 40 dans le monde.

Nous pensons avoir identifié la source de la faille de sécurité et sommes en train de préparer un correctif destiné à nos clients utilisant une solution sur site, qui sera soumis à des tests approfondis. Nous publierons ce correctif dès que possible afin que nos clients puissent reprendre leurs activités.

Je suis fier de vous annoncer que notre équipe avait mis en place un plan d'intervention et qu'elle l'a parfaitement exécuté aujourd'hui. La grande majorité de nos clients nous ont fait savoir qu'ils n'avaient rencontré aucun problème, et je tiens à remercier nos équipes internes, les experts externes et nos partenaires du secteur qui ont travaillé à nos côtés pour mener rapidement cette opération à bien.

Les mesures prises aujourd'hui témoignent de l'engagement sans faille de Kaseya à donner la priorité à ses clients et à leur offrir un support de la plus haute qualité pour ses produits.

Fred Voccola, PDG d'
, Kaseya

Informations concernant une attaque potentielle visant Kaseya VSA

2 juillet 2021 - 16 h 00 (heure de l'Est)

Nous enquêtons actuellement sur une attaque potentielle visant le VSA, qui semble s'être limitée à un petit nombre de nos clients disposant d'une infrastructure sur site. Par mesure de précaution, nous avons pris l'initiative de mettre hors service nos serveurs SaaS.

Nous menons actuellement une enquête approfondie sur les causes profondes de l'incident, et nous avons :

  • Nous avons demandé à tous nos clients utilisant une installation sur site d'arrêter immédiatement leurs serveurs VSA
  • Arrêter nos serveurs SaaS

Plusieurs sociétés de sécurité nous ont également signalé ce problème et nous travaillons en étroite collaboration avec elles. Nous poursuivons notre enquête sur cet incident et tiendrons nos clients (ainsi que les parties concernées) informés dès que nous disposerons de nouvelles informations.

Cordialement,
Kaseya