Supply Chain Attacke auf Kaseya: Droht gleiches Sicherheitsfiasko wie bei SolarWinds?
von Svenja Koch
Über Kaseya
Das amerikanische Unternehmen Kaseya bietet IT-Lösungen wie VSA, ein einheitliches Remote-Überwachungs- und Management-Tool für den Umgang mit Netzwerken und Endpunkten, an. Darüber hinaus beinhaltet das Portfolio Compliance-Systeme, Service Desks und eine professionelle Service-Automatisierungsplattform.
Die Software des Unternehmens wurde für Unternehmen und Managed Service Provider (MSPs) entwickelt. Laut Kaseya verwenden über 40.000 Unternehmen weltweit mindestens eine ihrer Softwarelösungen. Als Technologieanbieter für MSPs, ist Kaseya von zentraler Bedeutung für eine breitere Software-Lieferkette.
Was über die Supply Chain Attacke bisher bekannt ist
Die umfangreiche Cyberattacke auf SolarWinds ist noch immer präsent und nun folgt erneut ein Lieferketten-Angriff, dessen Ausmaß ähnliche Dimensionen zu erreichen scheint: Die IT Management-Software Kaseya, die in MSP-(Managed Service Provider) Umgebungen verwendet wird, ist von einem Supply Chain-Hack getroffen worden. Wie beim SolarWinds-Vorfall verwendet dieser neueste Angriff einen zweistufigen Malware-Zustellungsprozess, der durch die Hintertür von Technologieumgebungen eingeschleust wird. Im Gegensatz zu SolarWinds hatten die Cyberkriminellen hinter diesem Angriff offenbar eher Geldgewinne als Cyberspionage zum Ziel. Indem sie das Vertrauensverhältnis zwischen Kaseya und seinen Kunden ausnutzten, platzierten sie als weiteren Schritt Ransomware der REvil-Gattung und forderten über das Darknet eine Lösegeldzahlung in Höhe von 70 Millionen US-Dollar für die Entschlüsselung der Daten.
Der Supply Chain Effekt
Kaseya hat insgesamt mehr als 36.000 Kunden. Mithilfe des Kaseya-Programms VSA verwalten Unternehmen Software-Updates in Computer-Systemen. Ein Eindringen in die VSA-Software kann den Angreifern also viele Türen auf einmal öffnen. Die IT-Sicherheitsfirma Huntress sprach von mehr als 1000 Unternehmen, bei denen Systeme verschlüsselt worden seien.
Kaseya teilte noch am Wochenende mit, dass nach bisherigen Erkenntnissen weniger als 40 Kunden betroffen seien. Allerdings ist hier der Domino-Effekt des Angriffes nicht zu unterschätzen, denn unter den betroffenen Unternehmen waren auch Dienstleister, die ihrerseits mehrere Kunden haben. Über diesen Lieferketten-Weg traf die Attacke auch die schwedische Coop-Kette, bei der die Kassensysteme nicht mehr funktionierten. Nur 5 der gut 800 Märkte sowie der Online-Shop blieben geöffnet.
Kaseyas Incident Response Maßnahmen
Kaseya informierte am 2. Juli um 14:00 Uhr EDT "einen potenziellen Angriff gegen die VSA, der auf eine kleine Anzahl von Kunden vor Ort beschränkt war". Am gleichen Tag stoppte das Unternehmen seinen Cloud-Service und informierte seine Kunden per E-Mail, Telefon und Online- Benachrichtigungen über den Verstoß. Sie wurden gleichzeitig angewiesen, ihre lokal laufenden VSA-Systeme umgehend auszuschalten. Nach Angaben des Unternehmens waren Kunden des Cloud-Dienstes zu keinem Zeitpunkt in Gefahr – alle betroffenen Firmen griffen auf lokale VSA-Installationen zurück.
Das Incident Response-Team von Kaseya beschloss außerdem, seine SaaS-Server proaktiv herunterzufahren und seine Rechenzentren vom Netz zu nehmen. Das Unternehmen arbeitet derzeit rund um die Uhr in allen Regionen daran, das Sicherheitsproblem zu lösen und die Kunden wieder in Betrieb zu nehmen. In einem Update vom 5. Juli sagte Kaseya, dass ein Fix entwickelt wird und zuerst in SaaS-Umgebungen bereitgestellt wird.
Was bleibt
Aktuell gibt es Hinweise von involvierten IT-Sicherheitsexperten, dass mehr als 70 Managed Service Provider von dem Supply Chain-Angriff betroffen waren, was zu mehr als 350 weiteren betroffenen Organisationen führte. Es muss davon ausgegangen werden, dass der gesamte Umfang der Opferorganisationen höher ist als die Meldungen einzelner Sicherheitsunternehmen. So meldete sich beim BSI bereits ebenfalls ein betroffener IT-Dienstleister aus Deutschland. Dessen Kunden seien in Mitleidenschaft gezogen worden, sagte ein BSI-Sprecher. Es handele sich um einige tausend Computer bei mehreren Unternehmen. Es kann nicht ausgeschlossen werden, dass in den kommenden Tagen weitere Firmen Probleme melden werden, die auf die Kaseya-Attacke zurückzuführen ist.
Was ist Ransomware?
Übergreifendes Ziel von Angreifern, die Ransomware einsetzen, ist die Erpressung des Dateneigentümers. Dabei werden sensible Daten verschlüsselt bzw. der Zugriff auf sie verhindert, um für die Entschlüsselung oder Freigabe ein Lösegeld zu fordern. Gerade aufgrund der lukrativen monetären Erfolgsaussichten nimmt die Zahl der Cyberangriffe mit Erpressungssoftware bzw. durch sog. Kryptotrojaner immer weiter zu. Unternehmen drohen durch solche Angriffe häufig existenzbedrohende Konsequenzen.
Sobald das System oder das Netzwerk eines Opfers verschlüsselt wurde, platzieren Cyberkriminelle eine Lösegeldforderung auf dem System und fordern die Zahlung im Gegenzug für einen Entschlüsselungsschlüssel (der funktionieren kann oder nicht).
Die heutigen Ransomware-Betreiber können Teil von Ransomware-as-a-Service (RaaS) sein, wenn sie sich für den Zugriff und die Verwendung einer bestimmten Art von Ransomware „abonnieren“. Lesen Sie hierzu auch: Schadsoftware im Abo auf krimineller Überholspur - Schon von Ransomware-as-a-Service gehört?
Eine weitere Cybercrime-Entwicklung ist die doppelte Erpressung, bei der einem Opfer während eines Ransomware-Überfalls die Informationen gestohlen werden. Verweigern sie die Zahlung, droht ihnen der Verkauf oder die Online-Veröffentlichung ihrer Daten.
Zu den gängigen und bekannten Ransomware-Familien gehören REvil, Locky, WannaCry, Gandcrab, Cerber, NotPetya, Maze und Darkside.