Bij de wereldwijde ransomware-aanval via de software van Kaseya zijn voor zover nu bekend minder dan vijftienhonderd bedrijven getroffen, zo heeft Kaseya in een update over het incident laten weten. Volgens het softwarebedrijf hebben de aanvallers bij minder dan zestig managed serviceproviders (MSP's) toegeslagen. Vervolgens zijn de systemen van vijftienhonderd klanten van deze MSP's met ransomware geïnfecteerd.

De aanvallers achter de aanval maakten misbruik van een kwetsbaarheid in Kaseya VSA, software waarmee managed serviceproviders de systemen van hun klanten op afstand beheren. Kaseya heeft een beveiligingsupdate voor dit beveiligingslek ontwikkeld die nu wordt getest. Vandaag brengt Kaseya eerst de eigen SaaS-servers online. Vervolgens is het plan dat binnen 24 uur hierna de beveiligingsupdate beschikbaar komt.

Kaseya heeft overlegd met de FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security over extra beveiligingsmaatregelen voor zowel de SaaS-dienst als de VSA-servers die MSP's zelf beheren. Een verzameling beveiligingsmaatregelen zal voor het herstarten van de diensten worden gepubliceerd.

Tevens is er een nieuwe versie van de detectietool verschenen waarmee managed serviceproviders kunnen controleren of hun VSA-servers zijn gecompromitteerd. Zo'n tweeduizend MSP's hebben de tool inmiddels gedownload, aldus het softwarebedrijf. Verder blijft het eerder gegeven advies gelden dat managed serviceproviders hun VSA-servers offline moeten houden. Kaseya zal laten weten wanneer het veilig is om de systemen te starten. Er zal een patch zijn vereist voor de herstart van VSA-servers.