ivITa uit voorzorg offline

UPDATE 09/08 13:26h

Alle systemen zijn operationeel en toegankelijk voor onze klanten. Lukt het niet om in te loggen, laat het ons weten. ([email protected])
 

UPDATE 22/07 11:10h

Vandaag gaan we de monitoringsmodule van ivITa terug activeren d.w.z. dat alle bewaking van de afgesproken devices terug actief zal staan. We zullen zeer geleidelijk aan ook klanten op een beveiligde manier terug toegang geven tot het platform. Indien je dringend toegang nodig hebt, gelieve dan een e-mail ([email protected]) te sturen zodat we dit prioritair in orde kunnen brengen.
 

UPDATE 16/07 14:53h

We hebben de ivITa server volledig geupdate. Verder is er door Kaseya een extra security laag toegevoegd. De servers worden vandaag terug opgestart maar we geven uit voorzorgsmaatregelen voorlopig geen toegang tot de ivITa console. Dat wil zeggen dat alle agents op de pc's en servers zullen connecteren en hun data kunnen doorgeven maar nog niet kunnen alarmeren. Als we merken dat alle data op een normale manier wordt verwerkt gaan we terug over naar de monitoringsfase. In de laatste fase geven we onze klanten terug toegang van buitenaf.
 

UPDATE 12/07 12:00h

Wij zijn vandaag bezig met het installeren van de patch in een geïsoleerde omgeving.  In principe mag de ivita server terug online gebracht worden na de patch, met die beperking dat de toegang van buitenaf nog niet terug opgezet mag worden. We hebben echter uit voorzorgsprincipe beslist om nog enkele dagen te wachten alvorens terug op te starten.
 

UPDATE 09/07 08:45h

Kaseya heeft laten weten dat hun patch pas zondag 11/07 verwacht wordt.
 

UPDATE 07/07 07:40h

Er zijn issues gedetecteerd bij de heropstart van de VSA SAAS omgeving in beheer van Kaseya. Alle patching en tijdslijnen lopen dus vertraging op.

During the VSA SaaS deployment an issue was discovered that has blocked the release. Unfortunately, the VSA SaaS rollout will not be completed in the previously communicated timeline. We apologize for the delay and R&D and operations are continuing to work around the clock to resolve this issue and restore service.

Er is ook een tool die je kan downloaden om te controleren of de agents geïmpacteerd zijn. Deze kan je hier vinden.
 

UPDATE 06/07 20:52

Er wordt een patch van Kaseya verwacht binnen de 24h. We hebben met EuroSys beslist om na het releasen van de patch, nog 3 dagen te wachten alvorens de ivITa omgeving terug online te brengen. Naar alle verwachting zal dat volgende week maandag zijn.

We hebben vandaag een 2de scan uitgevoerd, en deze gaf opnieuw een negatief resultaat.

Tevens hebben we alle logfiles van onze firewall gecontroleerd, en ook hier kunnen we geen verkeer terugvinden naar gekende ip-adressen van de hackers.
 

UPDATE 06/07 08:10h

Kaseya heeft nog geen patch klaar, en zullen eerst hun cloud omgeving terug opstarten ter evaluatie.

Ondertussen is er meer bekend over de ransomware :

Ransomware-groep REvil vraagt tot zeventig miljoen voor universele decryptietool
 

UPDATE 05/07 16:54h

IvITA is nog steeds offline in afwachting van meer nieuws van Kaseya.
 

UPDATE 04/07 15:16h

Kaseya heeft een eerste tool vrijgegeven waarmee we kunnen controleren of onze VSA geïmpacteerd was. Uit de controle blijkt dat dit niet het geval is. We zijn dus voorzichtig positief, maar ivITa blijft tot nader order wel offline.

tool Kaseya

UPDATE 03/07 16:59h

Het onderzoek is nog steeds bezig; er wordt met aandrang gevraagd om alle systemen nog niet op te starten. Er zijn nog steeds geen aanwijzingen dat we met ons systeem aangetast zouden zijn. Er wordt aan al onze klanten gevraagd om extra aandacht te besteden aan extra gebruikersbewustzijn (dus phising mails, vreemde downloads, ...).
 

ORIGINEEL 

Op vrijdagavond 21u47 liet Kaseya ons weten dat ze een ‘potential attack’ ervaarden op enkele van hun servers die on-premises staan bij klanten.

Deze boodschap werd verzonden naar al hun klanten en werd dus niet specifiek gericht aan EuroSys. Uit voorzorg hebben ze al hun klanten gevraagd om de VSA server offline te zetten tot nieuws van hun zijde.  Er werd dus niet meegedeeld dat onze VSA het slachtoffer zou zijn van een cyberaanval.

Bij toeval waren wij toen onderhoud aan het doen op onze Kaseya omgeving hetgeen inhoudt dat onze server sinds 20u11 al in ‘maintenance modus’ stond en dus vanaf toen al offline stond.

Omwille van de melding hebben we beslist om deze niet terug online te laten komen.  Momenteel houden we deze nog steeds offline. Tot nu toe wijst niets erop dat wij of onze klanten geïmpacteerd zijn.

Op dit moment hebben wij dus geen weet van een gegevensinbreuk of een vermoeden van gegevensinbreuk. Wel hebben we voormelde maatregel genomen om een mogelijk incident te voorkomen.

Het nadeel van deze preventieve maatregel is wel dat we tijdelijk geen monitoring van servers kunnen doen.

Bij nieuws zullen we dit meteen melden.

Op de pagina van Kaseya kan je hun laatste updates lezen.