De hoogste leiding van Kaseya was al lang voordat ze slachtoffer werd van de grote ransomware-campagne van de Russische hackersgroep REvil, op de hoogte van ernstige tekortkomingen in zijn software.
Persbureau Bloomberg meldt dat vijf voormalige werknemers het management voor fouten in de beheersoftware hebben gewaarschuwd. Dit gebeurde tussen 2017 en 2020. Volgens ex-werknemers die anoniem willen blijven, ontbrak er veel aan de veiligheid. De software waarmee managed service providers de systemen van hun klanten kunnen beheren, zou zijn gebaseerd op sterk verouderde code. Bovendien waren de producten en servers van het bedrijf uit Miami slecht versleuteld, zo wordt gesteld. Ook de gebruikte wachtwoorden zouden zwak zijn. Bovendien zouden ze zonder encryptie zijn opgeslagen.
Verder wordt Kaseya verweten zelfs de meest elementaire beginselen van veiligheid met voeten te treden, zoals het regelmatig patchen van software. Volgens vijf voormalige werknemers waarvan Bloomberg de namen kent, hamerde de directie op verkoop en marketing. Dat zou ten koste van de veiligheid zijn gegaan. De inmiddels bij Kaseya vertrokken software-ontwikkelaars menen dat het management te weinig met hun waarschuwingen heeft gedaan. De man die begin 2019 een veertig pagina’s tellend memo aan de directie schreef, kon ongeveer twee weken later zijn biezen pakken.
Banden met Kremlin
Enkele werknemers stellen dat Russische hackers die behoren tot de groep die later bekend werd als REvil, al in februari en juni 2019 Kaseya’s VSA tool gebruikten om ransomware te verspreiden. Meer dan twee jaar later werd de VSA opnieuw gebruikt om meer dan duizend bedrijven aan te vallen waaronder Nederlandse. Volgens de ex-werknemers was deze tool al jaren geleden toe aan vervanging. Een aantal van hen stelt dat medewerkers het bedrijf verlieten uit frustratie over het feit dat het toevoegen van nieuwe features en producten meer prioriteit kreeg dan het fixen van problemen.
Anderen moesten in 2018 vertrekken toen Kaseya banen overhevelde naar Belarus (Wit-Rusland), aldus twee ex-werknemers. In de hoofdstad Minsk werden meer dan veertig mensen geworven voor de ontwikkeling van software, werk dat daarvoor in Amerika werd gedaan. Achter deze outsourcing werden intern vraagtekens gezet gelet op de nauwe politieke banden tussen Belarus en het Kremlin.
Meer kritiek
REvil vroeg 70 miljoen dollar in bitcoins voor een sleutel waarmee ontoegankelijk gemaakte bestanden weer zijn te ontsleutelen. Niet bekend is of en hoe Kaseya op deze eis heeft gereageerd.
Behalve wat technische informatie geeft het Amerikaanse bedrijf nauwelijks details over de gevolgen van de aanval die op vrijdag 2 juli losbrak. Niet duidelijk is hoeveel slachtoffers er zijn en hoe ernstig de schade is.
Overigens staan de ex-werknemers niet alleen in hun kritiek. Bloomberg haalt in dit verband Marcus Murray, directeur van het Zweedse Truesec, aan. Volgens Murray vond zijn bedrijf in de VSA-software na slechts een paar uur onderzoek ernstige kwetsbaarheden waar aanvallers misbruik van kunnen maken. Brian Weiss, ceo van de Amerikaanse managed services provider Itech Solutions, zegt in maart 2018 het slachtoffer te zijn geworden van een ransomware-aanval via Kaseya’s VSA. Volgens Weiss hield Kaseya zich toen afzijdig. Het bedrijf bood geen enkele hulp, aldus deze klant die daarop zijn contact beëindigde.
