Update Kaseya-Attacke: Unternehmen kämpft noch immer mit den Folgen – gab es Lösegeldzahlung?

von

Lesezeit: Minuten ( Wörter) | Seitenaufrufe: 376

Auch einen Monat nach dem Supply Chain Angriff auf Kaseya kämpft der IT-Dienstleister mit den Auswirkungen der Cyberattacke.

Anfang Juli 2021 kam es zu einem Cyberangriff auf den IT-Dienstleister Kaseya. Diese Attacke hatte weltweite Auswirkungen, da es sich um einen Angriff auf die Supply Chain des Unternehmens handelte. So mussten in Schweden tagelang bis zu 800 Filialen der Supermarktkette Coop schließen, da die Kassensysteme nicht zur Verfügung standen. Rund einen Monat nach dem Vorfall kämpft Kaseya immer noch mit den Folgen der Attacke.

Die Supply Chain Attacke – nach dieser Methode gingen die Angreifer vor

Eine Supply Chain Attacke bezeichnet eine spezielle Form von Cyberangriffen, die auf die Lieferketten von Unternehmen abzielt. Im Falle von Kaseya nutzten die Angreifer eine IT-Sicherheitslücke in den Systemen des US-Unternehmens aus. Hierbei handelte es sich um einen sogenannten Zero-Day-Exploit in der Software des Anbieters. Über diese IT-Sicherheitslücke schleusten die Hacker Ransomware in die Netzwerke der Kunden ein.

Ziel der Attacke war die Unified Remote Monitoring & Management Software VSA. VSA (Virtual System Administrator) ist ein Tool für die Fernwartung. Diese Software nutzen die Kunden, um Arbeitsplatzrechner und andere Computer im eigenen Netzwerk von jedem Ort aus zu steuern. Unter anderem installiert die IT Security der Kunden über diesen Weg Softwareupdates. VSA ist als Cloud-Service sowie für die Installation On-Premises konzipiert, sodass Kunden die Software auch auf eigener Infrastruktur einsetzen.

Supply Chain Attacken in der IT laufen immer nach einem ähnlichen Muster ab. Anstelle die IT-Infrastruktur eines Unternehmens direkt anzugreifen und dort nach einer IT-Sicherheitslücke zu suchen, zielen die Hacker auf IT-Dienstleister ab. Dort suchen die Angreifer gezielt nach IT-Sicherheitslücken, um Schadsoftware in die Update-Routinen der Software zu implementieren. Auf diesem Weg infizieren die Hacker das eigentliche Softwareprodukt, wie in diesem Falle die Fernwartungssoftware VSA. Mit dem nächsten Update gelangt die Ransomware auf die Kundensysteme und aktiviert sich dort durch die Installation des Updates.

Diese Methode hat für die Hacker zwei entscheidende Vorteile. Zum einen vertraut die IT Security der meisten Unternehmen, die Software von IT-Dienstleistern nutzt, offiziellen Updates und Patches. Deshalb erfolgt meist eine umgehende Installation von Updates, sobald diese zur Verfügung stehen. Zum anderen laufen diese Attacken über die Supply Chain simultan ab, da sich die Updates teilweise automatisch installieren oder die IT Security diese schnellstmöglich aufspielt. Dies hat zur Folge, dass die Ransomware eine Vielzahl von Unternehmen gleichzeitig kompromittiert.

Der Ablauf der Supply Chain Attacke auf das US-Unternehmen Kaseya

02. Juli: Der eigenen IT Security fallen Unregelmäßigkeiten bei den VSA-Servern auf. Innerhalb einer Stunde nach Feststellung der Attacke handelt das Unternehmen und stellt die VSA-Server ab. Gleichzeitig verschickt Kaseya Nachrichten an alle Kunden, mit der Empfehlung, eigene Server mit VSA ebenfalls abzustellen.

Jetzt keinen Blogbeitrag mehr verpassen!

  • 12x im Jahr aktuelle News aus der IT Security Welt
  • 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
  • 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense

03. Juli: Zahlreiche Unternehmen auf der ganzen Welt sind von dem Angriff betroffen. Laut Kaseya beschränkt sich das Ausmaß jedoch auf Kunden, die das Modul Remote Monitoring & Management (RMM) der VSA-Software nutzen. Nach ersten Schätzungen des Unternehmens sind etwa 50 Kunden betroffen. Diese Zahl wird jedoch schnell nach oben korrigiert, da zu den Nutzern auch IT-Systemhäuser gehören. Diese setzen VSA ein, um ihrerseits eine Vielzahl von Unternehmen zu betreuen. Insgesamt wird von etwa 1.500 Unternehmen gesprochen, die Opfer von Cyberangriffen im Verlaufe der Attacke auf die Supply Chain von Kaseya sind.

Besonders medienwirksam sind die Auswirkungen auf die schwedische Supermarktkette Coop. Diese schließt rund 800 Filialen im ganzen Land, die teilweise auch nach mehreren Tagen nicht öffnen.

04. Juli: Die ersten Details über den Angriff gelangen an die Öffentlichkeit. Zum Einsatz kam ein Trojaner mit der Bezeichnung Sodinokibi. Diese Schadsoftware steht im Zusammenhang mit Ransomware und nutzt IT-Sicherheitslücken in Oracle WebLogic sowie Microsoft Windows aus. Auch die konkrete IT-Sicherheitslücke, die die Angreifer nutzten, ist nun bekannt. Das Dutch Institute for Vulnerability Disclosure berichtet, dass der entsprechende Zero-Day-Exploit schon seit dem April bekannt ist. Der US-Dienstleister stand bereits in Kontakt mit den Sicherheitsexperten, um diese IT-Sicherheitslücke zu schließen. Die Hacker schlugen jedoch schneller zu.

05. Juli: Im Darknet wird ein Bekennerschreiben veröffentlicht. Die Hacker-Gruppe REvil gibt an, hinter der Attacke zu stecken. Gleichzeitig veröffentlicht die Gruppe eine Lösegeldforderung über 70 Millionen US-Dollar. REvil selbst behauptet, weltweit über eine Million System kompromittiert zu haben. Nach Zahlung des Lösegelds verspricht die Hacker-Gruppe, die verschlüsselten Daten aller betroffenen Unternehmen wieder freizugeben. Die Gruppe fordert die Zahlung in Form der digitalen Kryptowährung Bitcoin.

06. Juli: Fred Voccola, der CEO von Kaseya wendet sich über ein YouTube-Video an die Öffentlichkeit. Hier spricht Voccola von einer kriminellen Cyberattacke auf die Infrastruktur seines Unternehmens sowie die der Kunden. Gleichzeitig lobt er das schnelle Handeln der eigenen IT Security und spricht an, dass Cyberangriffe dieser Art nicht mehr zu vermeiden sind. Viel wichtiger ist jedoch die schnelle Reaktion, um die Schäden solcher Cyberangriffe einzugrenzen. Am selben Tag mehren sich Berichte, dass die Hacker-Gruppe REvil von der Ransomware betroffene Kundenunternehmen direkt kontaktiert. Auch hier fordern die Kriminellen Lösegeld. Gegen die Zahlung von 45.000 US-Dollar versprechen die Hacker, die Daten dieser Unternehmen zu entschlüsseln.

07. Juli: Das Unternehmen arbeitet an der Wiederherstellung der eigenen VSA-Server. In Zusammenarbeit mit Cloudflare und weiteren IT-Sicherheitsdienstleistern wird an der Verbesserung des Sicherheitsniveaus gearbeitet. Dabei kommt es jedoch zu unerwarteten Hindernissen, die die Wiederinbetriebnahme der VSA-SaaS-Server verzögert. Gleichzeitig verspricht Kaseya, umgehend nach der Wiederherstellung der eigenen Serverinfrastruktur einen Patch für die lokalen VSA-Installationen bei den Kunden bereitzustellen.

11. Juli: Die ersten VSA-Server sind wieder erreichbar und der Patch für On-Premises-Installationen steht bereit.

14. Juli: Alle Seiten, Blogs und Zahlungsportale der Hacker-Gruppe REvil sind aus dem Darknet verschwunden. Analysten sind sich unschlüssig über die Gründe. Vermutet wird, dass der russische Präsident Vladimir Putin gegen die Infrastruktur der Kriminellen vorgegangen ist. Experten aus dem Bereich der IT Security gehen seit längerem davon aus, dass REvil aus dem Bereich der Russischen Föderation agiert.

Alle Seiten, Blogs und Zahlungsportale der Hacker-Gruppe REvil sind seit Mitte Juli aus dem Darknet verschwunden.

Trittbrettfahrer nutzen die Situation aus und starten eigene Cyberangriffe

Kaseya hatte öffentlich kommuniziert, die Kunden via E-Mail über die weitere Entwicklung auf dem Laufenden zu halten. Außerdem wurde eine Lösung für die durch die Ransomware verschlüsselten Daten versprochen. Diesen Fakt haben sich andere Cyberkriminelle zunutze gemacht. In den Wochen nach der Cyberattacke mehrten sich die Hinweise, dass betroffene Unternehmen das Ziel von Phishing-Versuchen wurden. Kriminelle verschickten Mails, die wie offizielle Nachrichten aussahen. Den Nachrichten fügten die Kriminellen Links zu Webseiten mit einem Download-Link hinzu. Angeblich steht dort ein Tool bereit, das die durch die Ransomware verschlüsselten Daten zugänglich macht. Tatsächlich handelt es sich um manipulierte Webseiten mit weiterer Schadsoftware. Die Angreifer versuchten, die Lage auszunutzen und so eigene Cyberangriffe zu starten.

Die Gegenmaßnahmen der IT Security und Hilfe für betroffene Unternehmen

Die erste Aktion des Unternehmens war es, die betroffenen Server abzuschalten und vom Netz zu trennen. Dies ist eine Standardreaktion der IT Security und wird in solchen Situationen empfohlen. Auf diese Weise entzieht die IT Security den Angreifern den Zugriff auf die Systeme und verhindert, dass diese weitere Schäden anrichten. Gleichzeitig beginnt die Suche nach der IT-Sicherheitslücke, die die Angreifer genutzt haben.

Simultan mit der Aufarbeitung des Cyberangriffs durch die IT Security begann das Unternehmen mit der öffentlichen Kommunikation über den Vorfall. Aktuelle Informationen sind auf der eigenen Webseite unter https://www.kaseya.com/potential-attack-on-kaseya-vsa/ verfügbar. Darüber hinaus informierte das Unternehmen seine Kunden direkt über den Angriff auf die Supply Chain. Auch die nationalen Sicherheitsbehörden FBI und CISA (Cybersecurity and Infrastructure Security Agency) in den USA benachrichtigte Kaseya.

Am 22. Juli vermeldete das Unternehmen überraschend, dass ein Datenentschlüsselungstool für die von der Ransomware betroffenen Daten bereitsteht. Dieses funktioniert in 100 Prozent der Fälle und entschlüsselt somit die durch die Ransomware verschlüsselten Daten auf den Servern der Kunden. Laut dem Unternehmen stammt das Datenentschlüsselungstool von einer vertrauenswürdigen dritten Partei. Es wurde zunächst vermutet, dass der IT-Dienstleister Lösegeld an die Hacker-Gruppe REvil gezahlt hat. Kaseya bestritt dies in einer Meldung vom 26. Juli jedoch vehement. Gleichzeitig machte das Unternehmen keine genaueren Angaben darüber, aus welcher Quelle das Datenentschlüsselungstool stammt.

Fazit

Der Kaseya-Fall zeigt erneut deutlich, welch weitreichende Ausmaße Cyberangriffe annehmen können. Als besonders gefährlich erweisen sich dabei Cyberangriffe auf die Supply Chain. Im vorliegenden Fall sind sogar Kunden von IT-Dienstleistern, die wiederum Kunde von Kaseya waren, betroffen. In einer solchen Konstellation ist sich ein kleines oder mittelständiges Unternehmen häufig gar nicht bewusst, welche Software oder Cloud-Anwendungen in ihren Netzwerken im Einsatz sind. Gleichzeitig zeigt sich, dass IT-Sicherheitslücken überall auftauchen. Die IT Security hat häufig gar nicht die Chance, solche IT-Sicherheitslücke zu adressieren, bevor Hackern diese für Cyberangriffe ausnutzen. In den meisten Fällen, so auch hier, arbeiten die Angreifer schnell, präzise und setzen Ransomware ein. Ransomware hat sich als effektives Tool erwiesen, um die Netzwerke von Unternehmen zu blockieren und die Ziele unter Druck zu setzen. Durch den hohen Grad an Digitalisierung sind viele Unternehmen von ihrer IT-Infrastruktur abhängig. Fällt diese aus, erleiden die Unternehmen enorme Verluste. Aus diesen Gründen gehört die nachhaltige und zeitgemäße Stärkung der IT Security für jedes Unternehmen heute zum Pflichtprogramm. Es gibt keine sicheren oder vertrauenswürdigen Systeme, wie die Cyberangriffe über die Supply Chain beweisen.

Sind Sie ausreichend gegen Supply Chain Angriffe aufgestellt? Kontaktieren Sie uns - wir beraten Sie gerne!

Durch Klicken auf die Schaltfläche "Absenden" bestätigen Sie, unsere Richtlinien zum Datenschutz gelesen zu haben. Sie geben Ihr Einverständnis zur Verwendung Ihrer personenbezogenen Daten zu dem von Ihnen angegebenen Zweck der Kontaktaufnahme durch die secion GmbH.

Zurück