Kaseya, Anbieter von IT- und Sicherheitsmanagementlösungen für Managed Service Provider (MSPs) und kleine bis mittlere Unternehmen (KMU), reagierte schnell auf einen Ransomware-Angriff auf seine VSA-Kunden, der über das Wochenende zum US-Nationalfeiertag gestartet wurde.
Am 2. Juli um ca. 14 Uhr EST (20 Uhr mitteleuropäische Zeit) wurde Kaseya von internen und externen Quellen auf einen möglichen Angriff aufmerksam gemacht. Innerhalb einer Stunde hat das Unternehmen vorsichtshalber den Zugriff auf die betroffene Software sofort abgeschaltet. Der Angriff hatte nur begrenzte Auswirkungen, da nur etwa 50 von mehr als 35.000 Kunden betroffen waren.
Nach der zügigen Entscheidung, den Zugriff auf die Software abzuschalten, wurde ein internes Incident-Response-Team in Zusammenarbeit mit Branchenexperten für forensische Untersuchungen aufgestellt, um die Art des Angriffs zu ermitteln. Sobald ein Angriff festgestellt wurde, wurden die Strafverfolgungsbehörden und die staatlichen Cybersicherheitsbehörden, einschließlich des Federal Bureau of Investigation (FBI) und der Cybersecurity and Infrastructure Security Agency (CISA), sofort informiert und einbezogen. Kurz nach dem Vorfall wurde mit Unterstützung des FBI und der CISA die Ursache des Angriffs identifiziert.
Etwa 50 Kunden waren betroffen und das Unternehmen hat proaktiv den Schaden begrenzt, um die Auswirkungen auf kritische Infrastrukturen zu minimieren. Viele der Kaseya-Kunden sind Managed Service Provider. Sie setzen die Technologie von Kaseya ein, um die IT-Infrastruktur für lokale und kleine Unternehmen mit weniger als 30 Mitarbeitern zu verwalten, wie z. B. Zahnarztpraxen, kleine Buchhaltungsbüros und lokale Restaurants. Von den etwa 800.000 bis 1.000.000 lokalen und kleinen Unternehmen, waren nur etwa 800 bis 1.500 betroffen.
„Unsere globalen Teams arbeiten rund um die Uhr, um den Betrieb unserer Kunden wieder sicherzustellen.“, sagte Fred Voccola, CEO von Kaseya. „Wir verstehen, dass jede Sekunde, in der sie arbeitsunfähig sind, ihre Existenzgrundlage beeinträchtigt, deshalb arbeiten wir mit Hochdruck daran, dieses Problem zu beheben.“
Das Unternehmen arbeitet aktiv mit verschiedenen Regierungsbehörden zusammen, darunter dem FBI, der CISA, dem Department of Homeland Security und dem Weißen Haus. FireEye Mandiant IR, ein Unternehmen für Computer Incident Response, arbeitet ebenfalls eng mit Kaseya an dem Sicherheitsvorfall.
„Dies ist eine gemeinschaftliche Anstrengung, um das Problem zu beheben und die verantwortlichen Parteien zu identifizieren, damit diese zur Rechenschaft gezogen werden können.“, fügte Voccola hinzu. „Wir sind unglaublich dankbar für deren Unterstützung dabei, unsere Kunden wieder online zu bringen. Der schnelle handlungs- und lösungsorientierte Ansatz der CISA und des FBI sowie die umfassende Unterstützung durch das Weiße Haus war uns eine große Hilfe dabei sicherzustellen, dass dieser Angriff nur eine sehr geringe Anzahl von Kunden betrifft. Obwohl jeder einzelne betroffene Kunde einer zu viel ist, hat sich gezeigt, dass die Auswirkungen dieses hochentwickelten Angriffs glücklicherweise stark überschätzt wurden.“, so Voccola.
Darüber hinaus war Kaseya IT Complete, die umfassende Produktsuite des Unternehmens, die es mittelständischen Unternehmen ermöglicht, ihre gesamten IT-Abläufe effizient zu verwalten, nur minimal von der Kompromittierung betroffen. Von den 27 Modulen war nur eins, VSA, betroffen.
Kaseya möchte sich der Einschätzung des FBI und der CISA anschließen: „Es ist wichtig, wachsam zu bleiben. Wir raten den Anwendern weiterhin, die Empfehlung von Kaseya zu befolgen, VSA-Server sofort abzuschalten, die CISA-Anleitung zur Schadensbegrenzung zu befolgen und der IC3 zu melden, wenn sie betroffen sind.“
www.kaseya.com