Kaseya är en mjukvaruleverantör som bland annat tillhandahåller tjänster för IT-administration. Deras fjärrstyrningsklient Kaseya VSA är en av dem, och en viktig del i det omfattande dataintrång som skedde för snart två veckor sedan. Genom plattformen skickade hackergruppen Revil ut ransomeware maskerad som en säkerhetsuppdatering. Det skickades till ett 50-tal av Kaseyas kunder, vilket i sin tur innebar att det spreds vidare till cirka 1 500 av dessa företags kunder, däribland svenska Coop, innan det upptäcktes.
Den skadliga programvaran krypterar data och företagen utpressas på pengar för att återfå kontrollen, där Revil i det här fallet ville ha motsvarande 600 miljoner kronor i bitcoin. Delar av de sårbarheter som Revil nyttjat för att genomföra dådet upptäcktes av holländska säkerhetsforskare i april 2021. De anser dock att Kaseya gjort sitt bästa för att lösa de problemet och samarbetade väl med dem, men att hackare helt enkelt hann före. Till Bloomberg vittnar tidigare anställda om en annan historia, där bristande rutiner kring säkerhet och problem funnits i åratal utan att åtgärdas.
Enligt de tidigare anställda, som valt att vara anonyma, är det inte första gången just Kaseya VSA används för att skicka ut skadlig programvara. Det inträffade liknande incidenter både år 2018 och 2019, men trots det menar de att företaget inte förändrat sina säkerhetsrutiner. Mjukvara uppdateras sällan och dras med föråldrad kod och företaget använder svaga krypteringsmetoder. De beskriver även hur det kändes som att fokus låg på försäljning istället för produktutveckling, vilket i sin tur fick flera anställda att säga upp sig i frustration över problem som aldrig åtgärdades.
Fjärrstyrningsklienten Kaseya VSA kritiseras även av svenska säkerhetsfirman Truesec. Grundaren Marcus Murray förklarar att Truesec uträttat en egen undersökning, där de på ett fåtal timmar fann allvarliga sårbarheter som potentiellt kan utnyttjas. Plattformen beskrivs ha blandad kod i flera olika programmeringsspråk. Likt de tidigare anställda anmärker Murray på att en del kod var föråldrad och inte lämplig för en modern fjärrstyrningsplattform av det slaget. Han berättar även att flera av de sårbarheter Truesec undersökte visar på en bristfällig förståelse för grundläggande IT-säkerhetsprinciper.
Kaseya har nyligen släppt en uppdatering som täpper till de säkerhetshål som nyttjades i attacken, tillsammans med en guide för hur användare ska uppdatera riskfritt. De har inte kommenterat tidigare anställdas uppgifter, med hänvisning till att det strider mot företagets policy att uttala sig om personal eller pågående brottsutredningar.
