Rechtzeitig, um das Feiertagswochenende zu ruinieren, haben Ransomware-Angreifer offenbar Kaseya – eine Softwareplattform zur Fernverwaltung von IT-Diensten – zur Bereitstellung ihrer Nutzlast verwendet. Sophos-Direktor und ethischer Hacker Mark Loman twitterte heute über den Angriff und berichtet nun, dass betroffene Systeme 44.999 US-Dollar für die Freischaltung verlangen. Ein Hinweis auf der Website von Kaseya fordert Kunden auf, ihre VSA-Server vorerst abzuschalten, „weil der Angreifer als erstes den administrativen Zugriff auf den VSA unterbindet“.
News Flash: Cyberkriminelle sind ein$$Löcher.
Bedenken Sie an diesem Feiertagswochenende alle Incident Response-Teams, denn sie sind wieder mittendrin.
Wenn Sie Kaseya VSA verwenden, fahren Sie es *jetzt* herunter, bis Sie aufgefordert werden, die IR zu reaktivieren und zu initiieren. Hier ist die Binärdatei: https://t.co/NIuGJZW84p https://t.co/GSXPlOPjFt
– Chris Krebs (@C_C_Krebs) 2. Juli 2021
Gemäß Laut einem Bericht von Bleeping Computer zielte der Angriff auf sechs große MSPs ab und hat Daten von bis zu 200 Unternehmen verschlüsselt.
Bei DoublePulsar hat Kevin Beaumont weitere Details darüber veröffentlicht, wie der Angriff zu funktionieren scheint, wobei die REvil-Ransomware über ein Kaseya-Update eintrifft und die Administratorrechte der Plattform zum Infizieren von Systemen verwendet. Sobald die Managed Service Provider infiziert sind, können ihre Systeme die Clients angreifen, für die sie Remote-IT-Dienste bereitstellen (u. a. Netzwerkmanagement, Systemupdates und Backups).
In einer Erklärung sagte Kaseya gegenüber The Verge: „Wir untersuchen einen potenziellen Angriff gegen die VSA, der darauf hindeutet, dass er nur auf eine kleine Anzahl unserer lokalen Kunden beschränkt war.“ In einer Mitteilung heißt es, dass sich alle seine Cloud-Server jetzt im „Wartungsmodus“ befinden, ein Schritt, den der Sprecher sagte, er werde aus „großer Vorsicht“ ergriffen.
Wir untersuchen einen möglichen Angriff auf den VSA, der darauf hindeutet, dass er nur auf eine kleine Anzahl unserer lokalen Kunden beschränkt war. Aus großer Vorsicht haben wir unsere SaaS-Server proaktiv heruntergefahren.
Wir sind dabei, die Ursache des Vorfalls mit größter Wachsamkeit zu untersuchen. Wir haben:
a. Wir haben alle unsere Kunden vor Ort benachrichtigt, ihre VSA-Server sofort herunterzufahren
b. Herunterfahren unserer SaaS-Server
Wir wurden von einigen Sicherheitsfirmen weiter über das Problem informiert und arbeiten auch eng mit ihnen zusammen. Während wir den Vorfall weiter untersuchen, werden wir unsere Kunden (und Interessenten) informieren, sobald uns weitere Informationen vorliegen.
Dana Liedholm – SVP, Corporate Communications Kaseya
Der heutige Angriff wurde mit der berüchtigten REvil-Ransomware-Gang (bereits verlinkt Angriffe auf Acer und den Fleischlieferanten JBS Anfang dieses Jahres) und The Record stellt fest, dass dies das dritte Mal sein könnte, dass Kaseya-Software ein Vektor für ihre Exploits ist, da Vorfälle unter mehr als einem Namen gesammelt werden =”sd7BaW”>