Ao longo do último fim de semana, a equipe de Resposta a Incidentes da Kaseya e os parceiros da Emsisoft continuaram seu trabalho auxiliando nossos clientes e outras pessoas na restauração de seus dados criptografados. Continuamos a fornecer o descriptografador aos clientes que o solicitarem e incentivamos todos os nossos clientes cujos dados possam ter sido criptografados durante o ataque a entrar em contato com seus representantes na Kaseya. A ferramenta de descriptografia provou ser 100% eficaz na descriptografia de arquivos que foram totalmente criptografados durante o ataque.

A Kaseya manteve seu foco em ajudar nossos clientes e, quando obtivemos o descriptografador na semana passada, agimos o mais rápido possível para utilizá-lo com segurança e ajudar nossos clientes a recuperar seus dados criptografados. Relatos recentes sugeriram que nosso silêncio contínuo sobre se a Kaseya pagou o resgate poderia incentivar novos ataques de ransomware, mas nada poderia estar mais distante do nosso objetivo. Embora cada empresa deva tomar sua própria decisão sobre o pagamento do resgate, a Kaseya decidiu, após consulta a especialistas, não negociar com os criminosos que perpetraram este ataque e não vacilamos nesse compromisso. Assim, confirmamos de forma inequívoca que a Kaseya não pagou resgate – seja diretamente ou indiretamente por meio de terceiros – para obter o descriptografador.

A equipe de Resposta a Incidentes da Kaseya, com o apoio da Emsisoft, continua a fornecer aos nossos clientes a chave de descriptografia e a ajudá-los a restaurar quaisquer dados criptografados que não tenham sido restaurados anteriormente a partir do backup. Não temos relatos de problemas ou dificuldades com o descriptografador.

A Kaseya obteve a chave de descriptografia universal.

Em 21 de julho de 2021, a Kaseya obteve um descriptografador para as vítimas do ataque do ransomware REvil e estamos trabalhando para resolver a situação dos clientes afetados pelo incidente.

Podemos confirmar que a Kaseya obteve a ferramenta de um terceiro e que temos equipes trabalhando ativamente para ajudar os clientes afetados pelo ransomware a restaurar seus ambientes, sem relatos de quaisquer problemas ou dificuldades associados ao descriptografador. A Kaseya está trabalhando com a Emsisoft para apoiar nossos esforços de atendimento ao cliente, e a Emsisoft confirmou que a chave é eficaz para desbloquear os sistemas das vítimas.

Continuamos comprometidos em garantir os mais altos níveis de segurança para nossos clientes e continuaremos a publicar atualizações aqui assim que tivermos mais detalhes.

Os clientes afetados pelo ransomware serão contatados por representantes da Kaseya.

Atualização do patch de manutenção do VSA 9.5.7.3011

A Kaseya está lançando a atualização 9.5.7.3011, que corrige problemas de funcionalidade causados pelas medidas de segurança reforçadas implementadas e traz correções de bugs (esta não é uma versão de segurança). As notas completas da versão com as correções estão disponíveis em: https://helpdesk.kaseya.com/hc/en-gb/articles/4404146456209.

Atualização do VSA SaaS

A primeira implantação do VSA SaaS entrou em operação no sábado, 17 de julho (horário da costa leste dos EUA), para as seguintes instâncias do VSA SaaS: UE – SAAS03, UE – SAAS06, UE – SAAS11, UE – SAAS12, UE – SAAS16, UE – SAAS23, UE – SAAS24, UE – SAAS25, UE – SAAS28, UE – SAAS34, UE – SAAS39, UE – SAAS41, UE – SAAS43, EUA – NA1VSA01, EUA – NA1VSA04, EUA – NA1VSA08, EUA – NA1VSA12, EUA – NA1VSA14, EUA – NA1VSA22, EUA – NA1VSA28, EUA – NA1VSA29, EUA – NA1VSA30, EUA – NA1VSA32, EUA – NA1VSA37, NA1VSA105, EUA – NA1VSA108, EUA – NA1VSA115, EUA – IAD2VSA02, EUA – IAD2VSA04

O restante das instâncias do VSA SaaS será atualizado hoje à noite (19 de julho), entre as 20h e as 4h (horário da costa leste dos EUA).

Atualização do VSA no local:

A atualização do VSA On-Premises será disponibilizada aos clientes e publicada no site de downloads até às 16h30 (horário da costa leste dos EUA) de hoje.

Atualização do patch de manutenção do VSA 9.5.7.3011

A Kaseya lançará a atualização 9.5.7.3011, que corrige problemas de funcionalidade causados pelas medidas de segurança reforçadas implementadas e traz correções de bugs (esta não é uma versão de segurança). (esta é não uma versão de segurança). As notas completas da versão com as correções estão disponíveis em: https://helpdesk.kaseya.com/hc/en-gb/articles/4404146456209.

A correção deverá estar disponível para os clientes do VSA On-Premises até o final do dia de segunda-feira,¹⁹ de julho.

A primeira implantação do VSA SaaS está prevista para sábado,¹⁷ de julho, entre 7h e 11h (horário da costa leste dos EUA), para as seguintes instâncias do VSA SaaS: EU – SAAS03, EU – SAAS06, EU – SAAS11, EU – SAAS12, EU – SAAS16, EU – SAAS23, EU – SAAS24, EU – SAAS25, EU – SAAS28, EU – SAAS34, EU – SAAS39, EU – SAAS41, EU – SAAS43, US – NA1VSA01, US – NA1VSA04, US – NA1VSA08, US – NA1VSA12, US – NA1VSA14, US – NA1VSA22, US – NA1VSA28, EUA – NA1VSA29, EUA – NA1VSA30, EUA – NA1VSA32, EUA – NA1VSA37, NA1VSA105, EUA – NA1VSA108, EUA – NA1VSA115, EUA – IAD2VSA02, EUA – IAD2VSA04

A implantação das restantes instâncias do VSA SaaS está prevista para ocorrer entre as 20h e as 4h (horário da costa leste dos EUA) na segunda-feira,¹⁹ de julho.

Verificação de instalação do patch do VSA

Ao executar o patch Kinstall no seu VSA, se você optou por reinstalar o VSA e desmarcou a opção padrão para instalar o patch mais recente, ou se executou o processo de reinstalação do VSA uma^segundavez sem selecionar a opção “instalar patch”, é possível que o patch não tenha sido reaplicado.

Embora esses sejam casos excepcionais e raros, recomendamos que você verifique se a atualização mais recente foi instalada corretamente. Criamos uma ferramenta que permite garantir que a atualização esteja instalada corretamente.

Baixe a ferramenta de verificação em: https://app.box.com/s/5kqsbdj9aajezsc63jzaadpka5esk1v8

Atualização da VSA:

Conforme informado na atualização anterior, lançamos a correção para os clientes do VSA On-Premises e iniciamos a implantação em nossa infraestrutura do VSA SaaS antes do prazo previsto das 16h. A restauração dos serviços está ocorrendo conforme o planejado, com 60% dos nossos clientes SaaS já em operação e os servidores dos demais clientes entrando em operação nas próximas horas. Nossas equipes de suporte estão auxiliando os clientes do VSA On-Premises que solicitaram assistência com a correção.

Continuaremos a publicar atualizações sobre o andamento da implementação da atualização e o status dos servidores ao longo da noite.

Equipe técnica da Kaseya e e seus parceiros têm trabalhado sem parar para ajudar os clientes afetados a retomarem suas operações. CTO Dan Timpson fala sobre a agência, resposta a incidentes e que estão auxiliando as equipes internas da Kaseya para garantir os mais altos níveis de segurança antes da entrada em operação e descreve as medidas que a Kaseya está tomando para garantir que seus clientes VSA voltem a ficar online com segurança. Ele discute ainda o impacto contido do VSA dentro da IT Complete e o design intencionalmente compartimentado que garantea segurança dos 26 módulos restantes nana plataforma. 

Hoje cedo, publicamos um vídeo do nosso CEO com uma atualização do cronograma de lançamento da atualização, conforme segue:

Para nossos clientes do VSA On-Premises, publicamos um guia de procedimentos com as alterações a serem feitas em seu ambiente local, para que possam se preparar para o lançamento da atualização. Aqui está o link para o guia(https://helpdesk.kaseya.com/hc/en-gb/articles/4403709150993). 

Estamos reajustando os prazos para a implantação do VSA SaaS e do VSA On-Premises. Pedimos desculpas pelo atraso e pelas alterações nos planos enquanto lidamos com esta situação em constante evolução.

Ainda esta noite, divulgaremos um vídeo com uma atualização do nosso CEO, que será enviado por e-mail aos clientes da VSA para esclarecer melhor a situação.

O manual detalhado para preparar uma implementação do VSA no local para a nova versão está sendo finalizado. Esse manual será enviado por e-mail a você e será publicado em nosso site de suporte.   

O manual de procedimentos é composto pelo seguinte:  

• Passos para isolar o servidor VSA da rede e da Internet 
  • Como executar a ferramenta de detecção  
    • O link para a ferramenta de detecção está abaixo, como parte das atualizações anteriores 
• Passos para atualizar seu sistema operacional e garantir que ele esteja em dia 
• Análise detalhada das alterações necessárias no IIS  
• Como baixar o agente FireEye no servidor VSA 
• Como implementar o agente FireEye no servidor VSA 
• Revisão final da lista de verificação antes da instalação da nova versão do VSA 

A próxima atualização para os clientes do VSA On Premise está prevista para as 18h desta noite. Essa atualização incluirá a data de lançamento da nova versão do VSA para os clientes do VSA On Premise. 

Conforme informado em nossa última atualização, infelizmente, durante a implantação da atualização do VSA, foi detectado um problema que impediu o lançamento. Ainda não conseguimos resolver o problema. As equipes de P&D e de operações trabalharam durante toda a noite e continuarão trabalhando até que consigamos desbloquear o lançamento. Forneceremos uma atualização sobre o status às 12h (horário da costa leste dos EUA).

Durante a implantação do VSA SaaS, foi detectado um problema que impediu o lançamento. Infelizmente, a implantação do VSA SaaS não será concluída dentro do prazo previamente informado. Pedimos desculpas pelo atraso; as equipes de P&D e de operações continuam trabalhando sem parar para resolver esse problema e restabelecer o serviço. Forneceremos uma atualização sobre a situação às 8h (horário da costa leste dos EUA).

Infelizmente, o produto VSA da Kaseya foi alvo de um ataque cibernético sofisticado.   Graças rápida resposta de nossas equipes, acreditamos que o incidente tenha sido localizado a um número muito pequeno de.  

Nossas equipes de segurança, suporte, P&D, comunicações e atendimento ao cliente continuam trabalhando sem parar em todas as regiões para resolver o problema e restabelecer o serviço aos nossos clientes. 

Esta atualização fornece mais detalhes sobre o 6 de julho de 2021, às 5h EDT EDT e nas atualizações anteriores.    

• O trabalho técnico para a implantação de SaaS começou às 16h (horário da costa leste dos EUA) e continuará pelas próximas horas, desde que não haja problemas.     
• Estamos configurando uma camada adicional de segurança em nossa infraestrutura SaaS, o que alterará o endereço IP subjacente dos nossos servidores VSA (os nomes de domínio/URL não serão alterados). Para quase todos os clientes, essa mudança será imperceptível.  No entanto, se, e somente se, você tiver colocado seu servidor Kaseya VSA na lista de permissões do(s) seu(s) firewall(s), será necessário atualizar a lista de permissões de IP. Os novos endereços IP podem ser encontrados em: https://www.cloudflare.com/ips/ 
• Nenhum serviço SaaS VSA está disponível online às 19h30. As medidas de segurança reforçadas estão sendo implementadas e verificadas quanto ao seu funcionamento adequado.  Assim que estiverem operacionais, publicaremos o cronograma de disponibilidade do VSA.   Atualizaremos a página de suporte a cada hora em https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689 
• Nosso prazo para a aplicação de patches no ambiente local é de 24 horas (ou menos) a partir da restauração dos serviços SaaS. Estamos empenhados em reduzir esse prazo ao mínimo possível – mas, caso sejam detectados problemas durante a ativação do SaaS, queremos resolvê-los antes de restaurar o serviço para nossos clientes no ambiente local. 

Aviso em vigor 

• Todos os servidores VSA locais devem permanecer offline até novas instruções da Kaseya sobre quando será seguro retomar as operações. Será necessário instalar uma correção antes de reiniciar o VSA, além de seguir um conjunto de recomendações sobre como reforçar sua postura de segurança. 
• Fomos informados por nossos especialistas externos de que os clientes que foram vítimas de ransomware e receberem mensagens dos invasores não devem clicar em nenhum link — eles podem conter malware. 

Estamos fazendo um bom progresso. A próxima atualização será publicada até às 18h.

Próxima atualização está prevista para ser ser julho 6de entre 14h:00 Pda tarde e 5:00 PM EDT.

Infelizmente, o produto VSA da Kaseya foi alvo de um ataque cibernético sofisticado. Graças à rápida resposta de nossas equipes, acreditamos que o incidente tenha sido limitado a um número muito reduzido de clientes com instalações locais.

Nossas equipes de segurança, suporte, P&D, comunicações e atendimento ao cliente continuam trabalhando sem parar em todas as regiões para resolver o problema e restabelecer o serviço aos nossos clientes.

Esta atualização fornece mais detalhes sobre a atualização de 5 de julho de 2021, às 21h30 (horário da costa leste dos EUA), e sobre as atualizações anteriores.

• Nosso cronograma para colocar os servidores SaaS em operação sofreu um atraso de duas horas – agora está previsto para o dia 6 de julho, entre 16h e 19h (horário da costa leste dos EUA), devido a alterações na configuração e à implementação de medidas de segurança reforçadas.
• Nosso prazo para a aplicação de patches no ambiente local é de 24 horas (ou menos) a partir da restauração dos serviços SaaS. Nosso foco é reduzir esse prazo ao mínimo possível – mas, caso sejam detectados problemas durante a ativação do SaaS, queremos corrigi-los antes de restaurar o serviço para nossos clientes locais.
• As medidas de segurança reforçadas que serão implementadas são:
  • SOC independente 24 horas por dia, 7 dias por semana, para cada VSA, com capacidade de colocar em quarentena e isolar arquivos e servidores VSA inteiros.
  • Uma CDN complementar com WAF para todos os VSAs (incluindo os que estão em ambiente local e optarem por utilizá-la – os detalhes estarão disponíveis na Base de Conhecimento ainda esta tarde).
  • Os clientes que incluírem endereços IP na lista de permissões terão que incluir endereços IP adicionais nessa lista.
  • Um novo artigo da Base de Conhecimento sobre o SOC, a CDN e os detalhes da lista de permissões será publicado ainda esta tarde e terá um link para este artigo na Base de Conhecimento no site da Kaseya.
  • Reduz significativamente a superfície de ataque do Kaseya VSA como um todo.
• Ainda hoje divulgaremos um comunicado pronto para uso, para que você possa informar seus clientes sobre o incidente e as medidas de segurança que implementamos.
• A Ferramenta de Detecção de Violações pode ser baixada no link a seguir: Ferramenta de Detecção VSA | Desenvolvida pela Box. Ela está em constante aperfeiçoamento; portanto, consulte o site de download para obter a versão mais recente.
• Atualização sobre o incidente – mais detalhes podem ser encontrados aqui: Visão geral do incidente e detalhes técnicos – Kaseya
• Até o momento, temos conhecimento de menos de 60 clientes da Kaseya — todos usuários do produto VSA instalado localmente — que foram diretamente afetados por esse ataque. Embora muitos desses clientes prestem serviços de TI a várias outras empresas, entendemos que o impacto total, até o momento, atingiu menos de 1.500 empresas indiretamente envolvidas.
• Não encontramos indícios de que algum de nossos clientes de SaaS tenha sido comprometido.
• O VSA é o único produto da Kaseya afetado pelo ataque; todos IT Complete demais IT Complete não foram afetados.

Aviso em vigor

• Todos os servidores VSA locais devem permanecer offline até novas instruções da Kaseya sobre quando será seguro retomar as operações. Será necessário instalar uma correção antes de reiniciar o VSA, além de seguir um conjunto de recomendações sobre como reforçar sua postura de segurança.
• Fomos informados por nossos especialistas externos de que os clientes que foram vítimas de ransomware e receberem mensagens dos invasores não devem clicar em nenhum link – eles podem conter malware.

A próxima atualização está prevista para ser publicada^{no dia 6} de julho, entre 8h e 12h (horário da costa leste dos EUA).  

Infelizmente, o produto VSA da Kaseya foi alvo de um ataque cibernético sofisticado. Graças à rápida resposta de nossas equipes, acreditamos que o incidente tenha se limitado a um número muito reduzido de clientes com instalações locais.

Nossas equipes de segurança, suporte, P&D, comunicações e atendimento ao cliente continuam trabalhando sem parar em todas as regiões para resolver o problema e restabelecer o serviço aos nossos clientes.

Esta atualização fornece mais detalhes sobre a atualização das 13h (horário da costa leste dos EUA) de 5 de julho de 2021 e as atualizações anteriores.

• Atualização sobre o incidente
  • Com o objetivo de manter a transparência com nossos clientes, a Kaseya está compartilhando as informações relativas ao recente ataque de ransomware em um documento intitulado “Visão Geral do Incidente e Detalhes Técnicos”, disponível neste link.
  • Até o momento, temos conhecimento de menos de 60 clientes da Kaseya — todos usuários do produto VSA instalado localmente — que foram diretamente afetados por esse ataque. Embora muitos desses clientes prestem serviços de TI a várias outras empresas, entendemos que o impacto total até agora tenha atingido menos de 1.500 empresas indiretamente afetadas. Não encontramos evidências de que algum de nossos clientes de SaaS tenha sido afetado.
  • Não recebemos nenhum novo relato de violação de segurança envolvendo clientes da VSA desde sábado,³ de julho.
  • O VSA é o único produto da Kaseya afetado pelo ataque; todos IT Complete demais IT Complete não foram afetados.
  • Um artigo da Reuters aborda o incidente – link
• Nosso comitê executivo se reuniu esta tarde, às 18h30 (horário da costa leste dos EUA), para redefinir o cronograma e o processo de restabelecimento do serviço para nossos clientes de SaaS e de instalação local.
  • A correção para clientes locais já foi desenvolvida e está atualmente passando pelo processo de testes e validação. Esperamos que a correção esteja disponível dentro de 24 horas após a ativação dos nossos servidores SaaS.
  • A estimativa atual para o restabelecimento dos nossos servidores SaaS é^{6 de} julho, entre 14h e 17h (horário da costa leste dos EUA). A decisão final sobre a realização ou não da operação será tomada amanhã de manhã, entre 8h e 12h (horário da costa leste dos EUA). Esses horários podem sofrer alterações à medida que avançamos nos processos finais de teste e validação.
• Lançaremos o VSA com funcionalidades implementadas em etapas para que os serviços voltem a ficar online mais rapidamente. A primeira versão impedirá o acesso a funcionalidades utilizadas por uma parcela muito pequena de nossa base de usuários, incluindo:
  • Venda de ingressos clássica
  • Controle remoto clássico (não LiveConnect).
  • Portal do usuário
• A Kaseya se reuniu com o FBI/CISA esta noite para discutir os requisitos de fortalecimento de sistemas e redes antes do restabelecimento do serviço, tanto para clientes SaaS quanto para clientes locais. Um conjunto de requisitos será publicado antes do reinício do serviço, a fim de dar aos nossos clientes tempo para implementar essas contramedidas, antecipando o retorno do serviço em^{6 de} julho.
• Uma nova versão da Ferramenta de Detecção de Compromissos pode ser baixada no link a seguir: VSA Detection Tools.zip | Desenvolvido pela Box
  • Esta ferramenta analisa um sistema (seja um servidor VSA ou um terminal gerenciado) e determina se há algum indicador de comprometimento (IoC) presente.
  • A versão mais recente procura por indicadores de comprometimento, criptografia de dados e a nota de resgate do REvil. Recomendamos que você execute novamente este procedimento para determinar com maior precisão se o sistema foi comprometido pelo REvil.
  • Mais de 2.000 clientes baixaram essa ferramenta desde sexta-feira.

Aviso em vigor

• Todos os servidores VSA locais devem permanecer offline até novas instruções da Kaseya sobre quando será seguro retomar as operações. Será necessário instalar uma correção antes de reiniciar o VSA, além de seguir um conjunto de recomendações sobre como reforçar sua postura de segurança.
• Fomos informados por nossos especialistas externos de que os clientes que foram vítimas de ransomware e receberam mensagens dos invasores não devem clicar em nenhum link – eles podem conter malware.

A próxima atualização está prevista para ser publicada^{no dia 5} de julho, entre 17h e 19h (horário da costa leste dos EUA).

Infelizmente, o produto VSA da Kaseya foi alvo de um ataque cibernético sofisticado. Graças à rápida resposta de nossas equipes, acreditamos que o incidente tenha se limitado a um número muito reduzido de clientes com instalações locais.

Nossas equipes de segurança, suporte, P&D, comunicações e atendimento ao cliente continuam trabalhando sem parar em todas as regiões para resolver o problema e restabelecer o serviço aos nossos clientes.

Esta atualização fornece mais detalhes sobre a atualização das 23h00 (horário da costa leste dos EUA) de 4 de julho de 2021 e as atualizações anteriores.

• Divulgaremos uma atualização separada com mais detalhes técnicos sobre o incidente para auxiliar nossos clientes e pesquisadores de segurança na tarde do^{dia 5} de julho.
• Atualizações sobre o cronograma de restauração do SaaS – ATUALIZAÇÃO
  • Nosso comitê executivo se reuniu esta manhã às 8h (horário da costa leste dos EUA) e, para minimizar ao máximo os riscos para os clientes, considerou que era necessário mais tempo antes de colocarmos os data centers novamente em operação.
  • Eles decidiram se reunir novamente no final desta tarde, às 15h (horário da costa leste dos EUA), para redefinir o cronograma de início do processo de restauração para colocar nossos data centers em operação. Forneceremos um cronograma atualizado entre aproximadamente 17h e 19h (horário da costa leste dos EUA) de hoje (^{5 de} julho).
  • Estamos implementando uma infraestrutura aprimorada de monitoramento de segurança e testando os processos revisados de resposta a incidentes e os controles de gestão de desempenho para garantir um nível aceitável de operações para nossos clientes.
  • A próxima atualização será divulgada ainda esta noite (horário da costa leste dos EUA), após a reunião do comitê executivo.
• Atualizações do cronograma de patches para instalações locais – NOVO
  • Estamos desenvolvendo a nova atualização para clientes locais em paralelo com a restauração do Data Center SaaS. Estamos realizando a implantação primeiro no SaaS, pois controlamos todos os aspectos desse ambiente. Assim que o processo tiver início, publicaremos o cronograma de distribuição da atualização para os clientes locais.
• A Ferramenta de Detecção de Compromisso pode ser baixada no link a seguir: VSA Detection Tools.zip | Desenvolvido pela Box Essa ferramenta analisa um sistema (seja um servidor VSA ou um terminal gerenciado) e determina se há algum indicador de comprometimento (IoC) presente.

Aviso em vigor

• Todos os servidores VSA locais devem permanecer offline até novas instruções da Kaseya sobre quando será seguro retomar as operações. Será necessário instalar uma correção antes de reiniciar o VSA, além de seguir um conjunto de recomendações sobre como reforçar sua postura de segurança.
• Fomos informados por nossos especialistas externos de que os clientes que foram vítimas de ransomware e receberam mensagens dos invasores não devem clicar em nenhum link – eles podem conter malware.

Uma atualização desta notícia será publicada ainda hoje. Por favor, volte a acessar o site por volta das 13h (horário da costa leste dos EUA).

A próxima atualização está prevista para ser publicada na manhã^{do dia 5} de julho (horário da costa leste dos EUA). A atualização será publicada no site de suporte da Kaseya.com (link aqui) antes do envio do e-mail. Verificar este link é a maneira mais rápida de garantir que você tenha as informações mais recentes da Kaseya.

Infelizmente, o produto VSA da Kaseya foi alvo de um ataque cibernético sofisticado. Graças à rápida resposta de nossas equipes, acreditamos que o incidente tenha se limitado a um número muito reduzido de clientes com instalações locais.

Nossas equipes de segurança, suporte, P&D, comunicações e atendimento ao cliente continuam trabalhando sem parar em todas as regiões para resolver o problema e restabelecer o serviço aos nossos clientes.

Esta atualização fornece mais detalhes sobre a atualização das 17h45 (horário da costa leste dos EUA) de 4 de julho de 2021 e as atualizações anteriores.

• Atualizações sobre o cronograma de restauração do SaaS – ATUALIZAÇÃO
  • Nosso comitê executivo se reuniu às 22h (horário da costa leste dos EUA) e, para minimizar ao máximo os riscos para os clientes, considerou que era necessário mais tempo antes de colocarmos os data centers novamente em operação.
  • Eles decidiram se reunir novamente amanhã de manhã, às 8h (horário da costa leste dos EUA), para redefinir o cronograma, com o objetivo de iniciar o processo de restauração para colocar nossos data centers em operação até o final do dia⁵ de julho, horário local (UTC) – mas esse prazo depende do cumprimento de alguns objetivos-chave durante a noite.
  • A próxima atualização será amanhã de manhã (horário da costa leste dos EUA), após a reunião do comitê executivo.
• Atualizações do cronograma de patches para instalações locais – NOVO
  • Assim que iniciarmos o processo de restauração do Data Center SaaS (consulte as atualizações do cronograma de restauração do SaaS acima), publicaremos o cronograma de distribuição da correção para os clientes locais.

Aviso em vigor

• Todos os servidores VSA locais devem permanecer offline até novas instruções da Kaseya sobre quando será seguro retomar as operações. Será necessário instalar uma correção antes de reiniciar o VSA, além de seguir um conjunto de recomendações sobre como reforçar sua postura de segurança.
• Fomos informados por nossos especialistas externos de que os clientes que foram vítimas de ransomware e receberam mensagens dos invasores não devem clicar em nenhum link – eles podem conter malware.
• A nova Ferramenta de Detecção de Compromissos pode ser baixada no link a seguir: VSA Detection Tools.zip. Essa ferramenta analisa um sistema (seja um servidor VSA ou um terminal gerenciado) e determina se há algum indicador de comprometimento (IoC) presente.

A próxima atualização será publicada^{no dia 4} de julho, bem tarde da noite (horário da costa leste dos EUA). Acessar este link é a maneira mais rápida de garantir que você tenha as informações mais recentes da Kaseya.

Infelizmente, o produto VSA da Kaseya foi alvo de um ataque cibernético sofisticado. Graças à rápida resposta de nossas equipes, acreditamos que o incidente tenha se limitado a um número muito reduzido de clientes com instalações locais.

Nossas equipes de segurança, suporte, P&D, comunicações e atendimento ao cliente continuam trabalhando sem parar em todas as regiões para resolver o problema e restabelecer o serviço aos nossos clientes.

Esta atualização fornece mais detalhes sobre a atualização das 10h00 (horário da costa leste dos EUA) de 4 de julho de 2021 e as atualizações anteriores.

Nossos esforços passaram da análise das causas fundamentais e da mitigação da vulnerabilidade para o início da execução do nosso plano de recuperação de serviços. Esse plano consistirá nas seguintes etapas:

• Comunicação do nosso plano de retomada gradual, começando pelos clientes de SaaS e, em seguida, pelos clientes com instalação local.
  • No espírito da divulgação responsável, a Kaseya publicará um resumo do ataque e das medidas que tomamos para mitigá-lo.
  • Por precaução, algumas funcionalidades antigas do VSA que são pouco utilizadas serão removidas nesta versão. Uma lista específica dessas funcionalidades e seu impacto nas capacidades do VSA será apresentada nas notas de lançamento.
  • Serão implementadas novas medidas de segurança, incluindo um monitoramento de segurança reforçado dos nossos servidores SaaS pela FireEye e a ativação de recursos aprimorados do WAF.
  • Concluímos com sucesso uma análise externa de vulnerabilidades, verificamos nossos bancos de dados SaaS em busca de indicadores de comprometimento e solicitamos que especialistas externos em segurança revisassem nosso código para garantir o reinício bem-sucedido do serviço.

• Atualizações do cronograma de restauração do SaaS
  • Nosso comitê executivo se reunirá no dia 5 de julho^o às 5h UTC (0h EDT) para tomar uma decisão sobre a prontidão para reiniciar o SaaS nos seguintes intervalos de tempo:
    • Centros de dados da UE, do Reino Unido e da região Ásia-Pacífico: 5 de julho – 9h00 UTC – 13h00 UTC (4h00 EDT – 8h00 EDT)
    • Centros de dados da América do Norte: 5 de julho – 17h00 EDT – 22h00 EDT
  • Esses horários/datas estão sujeitos a alterações, e uma atualização sobre o andamento será publicada no site até a 1h UTC, informando se estamos mantendo o cronograma acima ou não. Caso contrário, publicaremos um cronograma revisado nesse momento.

• Para nossos usuários de SaaS:
  • Vamos colocar nossos data centers SaaS novamente em operação, um por um, começando pelos data centers da UE, do Reino Unido e da região Ásia-Pacífico, seguidos pelos data centers da América do Norte.
  • Adicionaremos uma camada adicional de segurança à nossa infraestrutura SaaS, o que alterará os endereços IP subjacentes dos nossos servidores VSA.

• Para nossos usuários locais
  • No momento, estamos preparando nossa versão local para disponibilizá-la aos clientes. Começaremos a divulgar o processo de lançamento da versão local no dia 5 de julho
  • Estamos trabalhando em um programa que nos permita estender nossas novas medidas de segurança aos nossos clientes com instalação local. A maioria dos detalhes sobre isso estará disponível antes do lançamento da atualização para instalação local.

Aviso em vigor

• Todos os servidores VSA locais devem permanecer offline até novas instruções da Kaseya sobre quando será seguro retomar as operações. Será necessário instalar uma correção antes de reiniciar o VSA, além de seguir um conjunto de recomendações sobre como reforçar a segurança.
• Fomos informados por nossos especialistas externos de que os clientes que foram vítimas de ransomware e receberam mensagens dos invasores não devem clicar em nenhum link – eles podem conter malware.
• A nova Ferramenta de Detecção de Compromissos pode ser baixada no link a seguir: VSA Detection Tools.zip | Desenvolvido pela Box Essa ferramenta analisa um sistema (seja um servidor VSA ou um endpoint gerenciado) e determina se há indicadores de comprometimento (IoC) presentes.

A próxima atualização será publicada no dia 4 de julho, no início da tarde (horário da costa leste dos EUA)

Infelizmente, o produto VSA da Kaseya foi alvo de um ataque cibernético sofisticado.   Graças à rápida resposta de nossas equipes, acreditamos que o incidente tenha sido isolado a um número muito pequeno de clientes com instalações locais.
Esta atualização fornece mais detalhes sobre a atualização das 13h30 (horário da costa leste dos EUA). As alterações estão sublinhadas para maior clareza.

Nossas equipes de segurança, suporte e atendimento ao cliente continuam trabalhando ininterruptamente em todas as regiões durante o fim de semana para resolver o problema e restabelecer o serviço aos nossos clientes.

Esta atualização fornece mais detalhes sobre as atualizações de 3 de julho de 2021, às 19h30 e às 21h00 (horário da costa leste dos EUA). As alterações estão sublinhadas para maior clareza.

Aviso em vigor

• Os servidores VSA hospedados voltarão a funcionar assim que a Kaseya determinar que podemos restabelecer as operações com segurança. Estamos elaborando um plano de retomada gradual das operações de nossos parques de servidores SaaS, com funcionalidades restritas e um nível de segurança reforçado (estimado para as próximas 24 a 48 horas, mas sujeito a alterações), de acordo com a localização geográfica. Mais detalhes sobre as limitações, as mudanças no nível de segurança e o cronograma serão divulgados no próximo comunicado ainda hoje.
• Todos os servidores VSA locais devem permanecer offline até novas instruções da Kaseya sobre quando será seguro retomar as operações. Será necessário instalar uma correção antes de reiniciar o VSA , além de seguir um conjunto de recomendações sobre como reforçar a segurança.
• Fomos informados por nossos especialistas externos de que os clientes que foram vítimas de ransomware e receberem mensagens dos invasores não devem clicar em nenhum link, pois estes podem conter malware.

Pontos-chave sobre a situação atual

• A nova Ferramenta de Detecção de Compromissos foi disponibilizada ontem à noite para quase 900 clientes que a solicitaram. Com base no feedback dos clientes, publicaremos uma atualização da ferramenta ainda esta manhã, que melhora seu desempenho e usabilidade. Não há alterações que exijam uma nova execução da ferramenta nos sistemas que já foram verificados.
  Esta nova versão da Ferramenta de Detecção de Compromissos será enviada automaticamente aos clientes que receberam a primeira versão. Novas solicitações podem ser feitas enviando um e-mail para [email protected] com o assunto “Solicitação da Ferramenta de Detecção de Compromissos”.
• Abriremos um site de download privado para que os clientes finais possam acessar a Ferramenta de Detecção de Compromissos assim que garantirmos a segurança, a integridade e a rastreabilidade do processo de download. Mais informações sobre isso na próxima atualização.
• Continuamos a trabalhar com a FireEye Mandiant IR (uma empresa líder em resposta a incidentes cibernéticos) neste incidente de segurança. Nossos esforços conjuntos não identificaram nenhum novo IoC desde ontem, e implantamos nossa Ferramenta de Detecção de Comprometimento em centenas de clientes. Até o momento, nenhum “falso positivo” foi relatado pelos usuários. [Nota: Um “falso positivo” indica que a Ferramenta de Detecção de Comprometimento classifica incorretamente um sistema como afetado quando, na verdade, ele não estava]
• Temos trabalhado ativamente com a FireEye e outras empresas de avaliação de segurança para analisar a forma como ocorreu o ataque e seu impacto, a fim de garantir que nossa equipe de P&D tenha identificado e mitigado adequadamente a vulnerabilidade. Continuamos a investigação paralelamente às medidas de correção.
• A equipe de P&D reproduziu o vetor de ataque e o trabalho de mitigação está em andamento. Esperamos concluir o trabalho nas próximas 24 a 48 horas, e os testes estão sendo realizados paralelamente.
• Fred Voccola, CEO da Kaseya, foi entrevistado sobre esse incidente no programa Good Morning America, da rede ABC, no domingo, 4 de julho. A entrevista foi bastante editada em relação à versão completa concedida por Fred. A mensagem resumida foi: “Temos certeza de que sabemos como isso aconteceu e estamos tomando as medidas necessárias para corrigir o problema.”
• Entramos em contato com o FBI e a CISA do DHS e estamos trabalhando com eles em um processo de gestão de incidentes para nossos clientes em todo o mundo afetados pelo ataque cibernético. A seguinte mensagem será publicada no site do FBI:
  “Se você acredita que seus sistemas foram comprometidos como resultado do incidente com o ransomware da Kaseya, recomendamos que você implemente todas as medidas de mitigação recomendadas, siga as orientações da Kaseya para desligar seus servidores VSA imediatamente e comunique o comprometimento ao FBI pelo e-mail https://www.IC3.gov. Devido à escala potencial deste incidente, talvez não possamos responder a cada vítima individualmente, mas todas as informações que recebermos serão úteis no combate a esta ameaça.”
• Neste momento, acreditamos que nenhum de nossos clientes do NOC (seja SaaS ou local) tenha sido afetado pelo ataque. Continuamos investigando, mas, até as 10h do dia 4 de julho (horário da costa leste dos EUA), não foram identificados clientes do NOC cuja segurança tenha sido comprometida.
• Os executivos da Kaseya estão entrando em contato diretamente com os clientes afetados para entender suas situações e quais formas de assistência podem ser oferecidas. Se você acredita ter sido afetado, entre em contato com [email protected] com o assunto “Relatório de Incidente de Segurança”. Não houve novos relatos de violações desde nosso último relatório ontem. Estamos confiantes de que compreendemos o alcance do problema e estamos trabalhando em parceria com cada cliente para fazer todo o possível para corrigi-lo. Acreditamos que não há nenhum risco relacionado no momento para qualquer cliente VSA que seja um cliente SaaS ou um cliente VSA local cujo servidor esteja offline.

Infelizmente, o produto VSA da Kaseya foi alvo de um ataque cibernético sofisticado. Graças à rápida resposta de nossas equipes, acreditamos que o incidente tenha sido limitado a um número muito reduzido de clientes com instalações locais.

Esta atualização fornece mais detalhes sobre a atualização das 13h30 (horário da costa leste dos EUA). As alterações estão sublinhadas para maior clareza.

Pontos-chave sobre a situação atual:

• Todos os servidores VSA locais devem permanecer offline até novas instruções da Kaseya sobre quando será seguro retomar as operações. Será necessário instalar uma correção antes de reiniciar o VSA. Pretendemos fornecer nossa primeira estimativa de tempo na atualização de amanhã de manhã, por volta das 9h (horário da costa leste dos EUA).
• Os serviços SaaS e os servidores VSA hospedados voltarão a funcionar assim que a Kaseya determinar que podemos retomar as operações com segurança.
• Fomos informados por nossos especialistas externos de que os clientes que foram vítimas de ransomware e receberem mensagens dos invasores não devem clicar em nenhum link, pois estes podem conter malware.
• Uma Ferramenta de Detecção de Violação estará disponível ainda esta noite para os clientes do Kaseya VSA. Para obtê-la, basta enviar um e-mail para [email protected] com o assunto “Solicitação da Ferramenta de Detecção de Violação” a partir de um endereço de e-mail associado a uma conta de cliente do VSA.
• Com a disponibilização da ferramenta de detecção de violação, recomendamos enfaticamente que os clientes afetados iniciem imediatamente o processo de recuperação.
• Fred Voccola, CEO da Kaseya, será entrevistado sobre este incidente no programa Good Morning America, da rede ABC, no domingo, 4 de julho. Consulte a programação de TV local para saber os horários na sua região. (Isso está sujeito a alterações de última hora por parte da emissora)
• Os executivos da Kaseya estão entrando em contato diretamente com os clientes afetados para entender suas situações e quais medidas de assistência podem ser tomadas. Caso acredite ter sido afetado, entre em contato com [email protected] com o assunto “Relatório de Incidente de Segurança”. Houve apenas um novo relato de comprometimento ocorrido hoje devido a um servidor VSA local ter sido deixado ligado. Estamos confiantes de que compreendemos o escopo do problema e estamos trabalhando em parceria com cada cliente para fazer todo o possível para corrigi-lo. Acreditamos que não há nenhum risco relacionado no momento para qualquer cliente VSA que seja um cliente SaaS ou um cliente VSA local que tenha seu servidor desligado.
• Contratamos uma empresa especializada em resposta a incidentes cibernéticos (FireEye Mandiant IR) para identificar os indicadores de comprometimento (IoCs), a fim de garantir que possamos determinar quais sistemas e dados foram acessados. Identificamos um conjunto preliminar de IoCs e temos trabalhado com nossos clientes afetados para validá-los. A disponibilidade da Ferramenta de Detecção de Comprometimento baseia-se em nossas interações com nossos especialistas externos.
• Temos trabalhado ativamente com a FireEye e outras empresas de avaliação de segurança para analisar a forma como ocorreu o ataque e seu impacto, a fim de garantir que nossa equipe de P&D tenha identificado e mitigado adequadamente a vulnerabilidade.
• A equipe de P&D reproduziu o vetor de ataque e está trabalhando para mitigá-lo. Iniciamos o processo de correção do código e, a partir de amanhã de manhã, publicaremos atualizações regulares sobre o andamento dos trabalhos. Assim que concluirmos o trabalho e testarmos exaustivamente as alterações em nosso ambiente, começaremos a colaborar com alguns clientes selecionados para testar as mudanças em condições reais. Não divulgaremos um prazo para a resolução até que tenhamos validado e testado exaustivamente a solução proposta.
• Neste momento, acreditamos que nenhum dos nossos clientes do NOC (seja SaaS ou em ambiente local) tenha sido afetado pelo ataque. Continuamos investigando o caso, mas, até às 19h (horário da costa leste dos EUA), não foram identificados clientes do NOC cuja segurança tenha sido comprometida.
• Entramos em contato com o FBI e estamos trabalhando em conjunto com eles em um processo de gestão de incidentes para nossos clientes em todo o mundo afetados pelo ataque cibernético.

A Kaseya está avançando na investigação do incidente de segurança por meio de várias frentes de trabalho:

• Como a segurança de nossos clientes é nossa prioridade, continuamos recomendando enfaticamente que os servidores VSA dos nossos clientes com instalação local permaneçam fora de linha até novo aviso. Também manteremos nossos servidores SaaS fora de linha até novo aviso.
• Fomos informados por nossos especialistas externos de que os clientes que foram vítimas de ransomware e receberam mensagens dos invasores não devem clicar em nenhum link — eles podem conter malwares.
• Entramos em contato com o FBI e estamos trabalhando em conjunto com eles em um processo de gestão de incidentes para nossos clientes em todo o mundo afetados pelo ataque cibernético. Publicaremos uma lista de contatos ainda hoje.
• Os executivos da Kaseya estão entrando em contato diretamente com os clientes afetados para entender suas situações e quais formas de assistência podem ser oferecidas. Qualquer pessoa que acredite ter sido afetada deve entrar em contato pelo e-mail [email protected] com o assunto “Relatório de Incidente de Segurança”.
• Continuamos a colaborar com especialistas do setor para avaliar a forma como ocorreu o ataque e seu impacto, bem como para garantir que nossa equipe de P&D tenha identificado e mitigado adequadamente a vulnerabilidade.
• A equipe de P&D reproduziu o vetor de ataque e está trabalhando para mitigá-lo. Não divulgaremos um prazo para a resolução até que tenhamos validado e testado exaustivamente a solução proposta. Agradecemos a paciência de nossos clientes.
• Contratamos uma empresa especializada em perícia informática para identificar os indicadores de comprometimento (IOCs), a fim de garantir que possamos determinar quais sistemas e dados foram acessados.
• A equipe de P&D está desenvolvendo uma ferramenta de autoavaliação para nossos clientes, a fim de permitir que eles determinem com certeza se foram afetados. Essa ferramenta será disponibilizada como parte da atualização para clientes com instalação local.

Neste momento, acreditamos que nenhum dos nossos clientes NOC (seja de SaaS ou em ambiente local) tenha sido afetado pelo ataque. Continuamos investigando o caso.

• TODOS OS SERVIDORES VSA LOCAIS DEVEM PERMANECER DESLIGADOS ATÉ QUE A KASEYA FORNEÇA NOVAS INSTRUÇÕES SOBRE QUANDO SERÁ SEGURO RETOMAR AS OPERAÇÕES. SERÁ NECESSÁRIO INSTALAR UMA ATUALIZAÇÃO ANTES DE REINICIAR O VSA.
• Os servidores SaaS e VSA hospedados entrarão em operação assim que a Kaseya determinar que podemos retomar as operações com segurança.

Infelizmente, o produto VSA da Kaseya foi alvo de um ataque cibernético sofisticado. Graças à rápida resposta de nossas equipes, acreditamos que o incidente tenha sido contido, afetando apenas um número muito reduzido de clientes com instalação local.

Como a segurança de nossos clientes é fundamental,continuamos recomendando enfaticamente que os servidores VSA dos nossos clientes com instalação local permaneçam desativados até novo aviso.Também manteremos nossos servidores SaaS fora de operação até novo aviso.

Fomos informados por nossos especialistas externos de que os clientes que foram vítimas de ransomware e receberem uma mensagem dos invasores não devem clicar em nenhum link – eles podem conter malware.

A Kaseya tem trabalhado sem parar para resolver esse problema, tanto do ponto de vista da avaliação de segurança, do suporte ao cliente, das atualizações sobre o andamento, da resolução técnica quanto do retorno ao estado operacional.

Uma atualização completa está em andamento e será publicada ainda esta manhã (horário da costa leste dos EUA).  Este comunicado incluirá informações detalhadas sobre:

• As autoridades externas (FBI, especialistas em resposta a incidentes) que contratamos e como estamos recorrendo a elas para obter assistência;
• Como nossos clientes podem entrar em contato com a Kaseya para obter assistência e o que podemos fazer para ajudar;
• Como determinar se os clientes foram afetados;
• Atualizações da equipe de P&D sobre o andamento da correção para usuários locais;
• O plano para restabelecer a conexão dos nossos clientes de SaaS e locais;
• Uma descrição detalhada do processo de incidentes de segurança e do status atual;
• Um cronograma para atualizações de comunicação;
• Outras informações importantes sobre o processo de recuperação.

Serão fornecidas atualizações contínuas a cada 3 ou 4 horas, ou com maior frequência, dependendo das novidades.

1. TODOS OS SERVIDORES VSA LOCAIS DEVEM PERMANECER DESLIGADOS ATÉ NOVAS INSTRUÇÕES DA KASEYA.
2. Os servidores SaaS e VSA hospedados entrarão em operação assim que a Kaseya determinar que podemos retomar as operações com segurança.

Por volta do meio-dia (horário da costa leste dos EUA) da sexta-feira, 2 de julho de 2021, a equipe de Resposta a Incidentes da Kaseya tomou conhecimento de um possível incidente de segurança envolvendo nosso software VSA.

Tomamos medidas imediatas para proteger nossos clientes:

• Desligamos imediatamente nossos servidores SaaS como medida de precaução, embora não tivéssemos recebido nenhum relato de violação por parte de clientes de SaaS ou de hospedagem;
• Notificamos imediatamente nossos clientes com instalação local por e-mail, avisos no próprio produto e por telefone para que desligassem seus servidores VSA, a fim de evitar que fossem comprometidos.

Em seguida, seguimos nosso processo estabelecido de resposta a incidentes para determinar o alcance do incidente e o grau de impacto sobre nossos clientes.

• Recorremos à nossa equipe interna de resposta a incidentes e a especialistas renomados do setor em investigações forenses para nos ajudar a determinar a causa principal do problema;
• Notificamos as autoridades policiais e as agências governamentais de segurança cibernética, incluindo o FBI e a CISA.

Embora nossos indicadores iniciais sugerissem que apenas um número muito reduzido de clientes com instalações locais tivesse sido afetado, adotamos uma abordagem conservadora ao desligar os servidores SaaS para garantir a proteção de nossos mais de 36.000 clientes da melhor maneira possível. Recebemos feedback positivo de nossos clientes sobre nossa resposta rápida e proativa.

Embora nossa investigação ainda esteja em andamento, até o momento acreditamos que:

• Nossos clientes de SaaS nunca estiveram em risco. Esperamos restabelecer o serviço para esses clientes assim que confirmarmos que eles não correm risco, o que prevemos que ocorra nas próximas 24 horas;
• Apenas uma porcentagem muito pequena dos nossos clientes foi afetada – estima-se atualmente que sejam menos de 40 em todo o mundo.

Acreditamos ter identificado a origem da vulnerabilidade e estamos preparando uma correção para mitigá-la para nossos clientes com instalações locais, a qual será exaustivamente testada. Lançaremos essa correção o mais rápido possível para que nossos clientes possam retomar suas operações.

Tenho orgulho de informar que nossa equipe tinha um plano pronto para entrar em ação e o executou com perfeição hoje. A grande maioria dos nossos clientes nos informou que não enfrentou nenhum problema, e sou grato às nossas equipes internas, aos especialistas externos e aos parceiros do setor que trabalharam conosco para alcançar rapidamente esse resultado bem-sucedido.

As medidas tomadas hoje são uma prova do compromisso inabalável da Kaseya em colocar nossos clientes em primeiro lugar e oferecer o mais alto nível de suporte para nossos produtos.

Fred Voccola, CEO d
e da Kaseya