Fredag 2. juli delte selskapet Kaseya informasjon om en pågående sikkerhetshendelse i deres programvare Kaseya VSA [1]. Kaseya VSA er RMM-programvare (Remote Monitoring and Management) som leveres til tjenesteleverandører og tilsvarende. Sikkerhetshendelsen førte til at en rekke tjenesteleverandører og deres kunder ble rammet av løsepengeviruset REvil.

NCSC ønsker å dele de viktigste kildene til informasjon knyttet til hendelsen så langt. Disse kan benyttes til å detektere eller forhindre lignende operasjoner mot norske virksomheter. NCSC erfarer at Norge i liten grad er rammet, men situasjonsbildet er stadig under utvikling.

Nettverksoperasjonen betegnes som et verdikjedeangrep hvor det trolig er nulldagssårbarheten CVE-2021-30116 som har blitt utnyttet. Ifølge DIVD [2] arbeider Kaseya med å ferdigstille en sikkerhetsoppdatering til sårbarheten.

NCSC anbefaler at virksomheter som benytter Kaseya VSA følger med på informasjonen som publiseres fortløpende på Kaseya sine nettsider [1]. Kaseya har anbefalt alle kunder å skru av Kaseya VSA-servere frem til en sikkerhetsoppdatering eller en mitigering foreligger.

Kaseya publiserte i går, søndag 4. juli, to PowerShell-skript som forsøker å avdekke om systemet er sårbart og om det finnes tegn på kompromittering [3]. Her ligger det også instruksjoner for hvordan disse kan benyttes.

Indikatorer fra hendelsen publiseres fortløpende, blant annet på Github av et sikkerhetsfirma [4]. NCSC har ikke ettergått kvaliteten på disse ressursene.

På generelt grunnlag anbefales det å følge NSM sine oppdaterte råd og anbefalinger for å best mulig sikre virksomheten mot løsepengevirusangrep [5].

Referanser:

[1] https://www.kaseya.com/potential-attack-on-kaseya-vsa/

[2] https://csirt.divd.nl/2021/07/04/Kaseya-Case-Update-2/

[3] https://kaseya.app.box.com/s/0ysvgss7w48nxh8k1xt7fqhbcjxhas40

[4] https://github.com/cado-security/DFIR_Resources_REvil_Kaseya/

[5] https://nsm.no/fagomrader/digital-sikkerhet/rad-og-anbefalinger-innenfor-digital-sikkerhet/skadevare/