Kaseya VSA adalah software yang cukup umum digunakan oleh MSP (Managed Service Providers) untuk membantu memudahkan me-manage client mereka.
Auto update pada product Kaseya VSA - yang terlihat "valid" - berhasil menyebarkan REvil ransomware. Secara design product ini memang memiliki hak ases penuh setara Administrator, yang berarti MSP (Managed Service Providers) yang terkena / terinfeksi ransomware tersebut, dapat menyebarkan ransomware yang sama ke perangkat client mereka / end user.
Kaseya secara design membutuhkan Level Permission yang tinggi. Permission ini sesuai dengan tujuan nya, yakni agar Kaseya mampu menghandle & me-manage sistem tersebut. Dan di sisi lain, ransomware juga memanfaatkan privileges ini untuk mem-push dirinya sendiri ke dalam sistem tersebut.
Di dalam kasus ini, si attacker (penyerang) melakukan semacam push update yang dimana secara otomatis ransomware akan terinstall di semua sistem yang dimanage oleh Kaseya itu sendiri - dengan kata lain impact nya sangat-sangat besar.
Selain itu, Kaseya juga merekomendasikan untuk meng-exclude beberapa folder dari scanning Antivirus. Dan hasil rekomendasi dari Kaseya ini juga dimanfaatkan oleh si penyerang, untuk memudahkan operasi nya dalam menyebarkan ransomware tersebut.
Pada kasus Kaseya ini ada beberapa jenis atau cara yang digunakan oleh si penyerang untuk memuluskan serangan ransomware ini. Salah satunya adalah Tampering (menggangu) Microsoft Defender.
Dimana secara garis besar, perintah / command yang dijalankan tersebut bertujuan untuk :
Impact dari kasus ini bisa jadi sangat luar biasa.
Kalau dilihat dari beberapa berita yang sudah beredar di dunia maya, customer / user yang bahkan bukan merupakan customer langsung dari Kaseya itu sendiri juga terkena dampak operasional yang masif.
Dapat dikatakan kasus ini sudah merupakan kasus skala besar / masif dan dapat dikategorikan sebagai Supply Chain Attack. Kasus ini juga seharusnya jadi pelajaran untuk Pemerintah dan instansi / organisasi lain nya, agar lebih serius mengenai keamanan cyber.