Drei Tage nachdem Ransomware-Angreifer das Feiertagswochenende mit der Kompromittierung von Kaseya VSA begonnen haben, haben wir eine klarere Vorstellung davon, wie weit die Auswirkungen waren. In einer neuen Lösegeldforderung behaupten die Angreifer, mehr als 1 Million Computer kompromittiert zu haben, und verlangen 70 Millionen US-Dollar, um die betroffenen Geräte zu entschlüsseln.
Die Software von Kaseya wird von Managed Service Providern verwendet, um IT-Aufgaben aus der Ferne auszuführen, aber am 2. Juli hat die mit Russland verbundene REvil-Ransomware-Gruppe ein bösartiges Software-Update bereitgestellt, das Anbieter, die die Plattform verwenden, und ihre Kunden aufdeckt “P6yZ05″>Das Dutch Institute for Vulnerability Disclosure (DIVD) gab bekannt, dass der Exploit, der für die Sicherheitsverletzung verwendet wurde, anscheinend derselbe war, den sie entdeckten und gerade beheben wollten, als die Angreifer zuschlugen. „Wir haben bereits eine umfassende Untersuchung der Backup- und Systemverwaltungstools und ihrer Schwachstellen durchgeführt“, schrieb DIVD. „Eines der Produkte, die wir untersucht haben, ist Kaseya VSA. Wir haben gravierende Sicherheitslücken in Kaseya VSA entdeckt und diese an Kaseya gemeldet, mit denen wir seither in regelmäßigem Kontakt stehen.“
Wir gehen davon aus, dass der gesamte Umfang der Opferorganisationen höher ist als der, der von einzelnen Sicherheitsunternehmen gemeldet wird.
Am Freitag sagte Kaseya-CEO Fred Vocolla: „Nur ein sehr kleiner Prozentsatz unserer Kunden war betroffen – derzeit werden es weltweit auf weniger als 40 geschätzt.“ Ross McKerchar, VP von Sophos, sagte in einer Erklärung am Sonntag: „Dies ist einer der weitreichendsten kriminellen Ransomware-Angriffe, die Sophos je gesehen hat. Zu diesem Zeitpunkt zeigen unsere Beweise, dass mehr als 70 Managed Service Provider betroffen waren, was zu mehr als 350 weiteren betroffenen Organisationen führte. Wir gehen davon aus, dass der gesamte Umfang der Opferorganisationen höher ist als das, was von jedem einzelnen Sicherheitsunternehmen gemeldet wird.“
Die stellvertretende Nationale Sicherheitsberaterin für Cyber und neue Technologien Anne Neuberger knüpfte an frühere Kommentare von Präsident Biden an und sagte: “Das FBI und das CISA werden sich an identifizierte Opfer wenden, um auf der Grundlage einer Bewertung des nationalen Risikos Hilfe zu leisten.”
Huntress Labs beteiligt sich an der Reaktion auf den Angriff und hat die meisten verfügbaren Informationen katalogisiert und sagt, dass der Angriff über 1.000 Unternehmen kompromittiert hat, die er verfolgt.
:no_upscale()/cdn.vox-cdn.com /chorus_asset/file/22700229/revil_blog.png "Kaseya-Ransomware-Angreifer verlangen 70 Millionen US-Dollar und behaupten, sie hätten über eine Million Geräte infiziert")
REvil-Lösegeld Nachfrage von Sophos Die SaaS-Cloud-Server von Kaseya bleiben offline
Sophos, Huntress und andere wiesen auf diesen Beitrag (oben) im „Happy Blog“ von REvil hin und behaupteten, dass mehr als eine Million Geräte infiziert wurden, und forderten eine Lösegeldforderung von 70 Millionen US-Dollar in Bitcoin, um sie alle freizuschalten. REvil wurde mit einer Reihe von Ransomware-Vorfällen in Verbindung gebracht, darunter ein Angriff mit Kaseya im Juni 2019 und ein hochkarätiger Vorfall Anfang dieses Jahres, der auf den Fleischlieferanten JBS abzielte. Der Sicherheitsforscher Marcus Hutchins äußerte sich jedoch skeptisch gegenüber der Behauptung der Gruppe und deutete an, dass sie die Auswirkungen überbewerten, in der Hoffnung, eine große Auszahlung von Kaseya oder jemand anderem zu erzielen
Bisher, einmal der Unternehmen, die am stärksten von dem Angriff betroffen sind, ist Coop, eine Linie von über 800 Lebensmittelgeschäften in Schweden, die am Samstag geschlossen wurde, als der Angriff ihre Kassen schloss. Gemäss einem Hinweis auf der Website sind Geschäfte, in denen Kunden mit Coops Scan & Die mobile Pay-App wurde wieder geöffnet, während andere Standorte geschlossen bleiben. Experten haben vorausgesagt, dass am Dienstag, wenn Arbeiter in Büros in den USA zurückkehren, möglicherweise weitere Opfer entdeckt werden.
Drei Tage nach dem Angriff bleiben die SaaS-Cloud-Server von Kaseya offline. Das Unternehmen sagt, dass es heute Abend einen aktualisierten Zeitplan für die Serverwiederherstellung sowie weitere technische Details des Angriffs bereitstellen wird, um die Wiederherstellungsbemühungen von Kunden und Sicherheitsforschern zu unterstützen.