Managed Service Provider (MSP) gehackt, Ransomware an Kunden verteilt

Hacker ist es gelungen, in die Infrastruktur von drei Managed Service Providern (MSP) einzudringen. Anschließend erhielten Kunden der Provider Malware zugespielt.

Die Infektion von Kunden durch Ransomware wurde wohl erstmals auf Reddit.com diskutiert.

Kaseya weaponized to deliver sodinokibi ransomware

I'm getting reports from a very large MSP Partner that Kaseya RMM tool was used to infect endpoints with sodinokibi ransomware.

This is insanity.

Has anyone else experienced anything like this recently?

I'm suspecting some breach on Kaseya' aside but I can't confirm anything yet. Thoughts?

Der Anbieter Kaseya wirbt mit einer integrierten Suite von IT-Service-fähigen, umsatzgenerierenden Lösungen für alle MSP- und IT-Anforderungen. Kunden können Lösungen für die Überwachung, Management, Sicherheit, Cloud, Kontinuität und mehr implementieren. Übernehmen Sie die Kontrolle und verwalten Sie die gesamte IT mit Kaseya. Später wurde im Reddit.com-Thread folgende Ergänzung gepostet:

Based on our analysis, we have high confidence multiple unaffiliated MSPs were compromised by the same attackers abusing RMM and security tools to deploy Sodinokibi ransomware. To clarify the state of this situation, we're hosting a security briefing on Wednesday, June 26th at 11am ET. Our goal is to recap the situation which will include details not covered by this post or the media. We will also dive into some realistic best practices (besides enabling 2FA ;) that will help partners prevent, detect, respond, and recover from an incident like this.

Please do the community a favor and share the word. Also, if you have any questions you'd like answered in advance, please email marketing[at]huntresslabs.com and we'll address them during the briefing.

Eine Ransomware-Bande hat die Infrastruktur von mindestens drei Managed Service Providern (MSPs) gehackt und die ihnen zur Verfügung stehenden Remote-Management-Tools (RMM), die Webroot SecureAnywhere Konsole, genutzt, um Ransomware auf den Kundensystemen der MSPs einzusetzen.

Hackers breach MSPs (remote IT firms) and use Webroot SecureAnywhere console to infect countless of customer PCs with the Sodinokibi ransomware

Initial entry vector into MSPs was RDP.https://t.co/LeMY3yetL0 pic.twitter.com/dORjw6YhWA

— Catalin Cimpanu (on vacation) (@campuscodi) 20. Juni 2019

Catalin Cimpanu weist auf Twitter auf diesen Sachverhalt hin und hat einen Artikel bei ZDNet dazu publiziert. Kyle Hanslovan, Mitbegründer und CEO von Huntress Lab, und half einigen der betroffenen MSPs bei der Untersuchung der Vorfälle.

Hanslovan sagte, dass die Hacker die MSPs über exponiertes RDP (Remote Desktop Endpunkte) angegriffen haben. Damit erhielten sie erhöhte Berechtigungen innerhalb kompromittierter Systeme. Anschließend deinstallierten sie manuell AV-Produkte wie ESET und Webroot.

(Quelle: Pexels Markus Spiske CC0 Lizenz)

In der nächsten Phase des Angriffs suchten die Hacker nach Konten für Webroot SecureAnywhere, eine Fernverwaltungssoftware (Konsole), die von den MSPs zur Verwaltung von Remote Arbeitsplätzen (im Netzwerk ihrer Kunden) verwendet wird.

Laut Hanslovan nutzten die Hacker die Konsole, um ein Powershell-Skript auf entfernten Workstations auszuführen, ein Skript, das die Sodinokibi-Ransomware heruntergeladen und installiert hat. Laut Huntress Lab wurden mindestens drei MSPs auf diese Weise gehackt.

Später am Tag begann Webroot mit der zwangsweisen Aktivierung der Zwei-Faktor-Authentifizierung (2FA) für SecureAnywhere-Konten. Das geht aus einer E-Mail hervor, die Hanslovan erhielt. Die Hoffnung war, die Hacker daran zu hindern, alle anderen potenziell gekaperten Konten zu nutzen, um weiter neue Ransomware zu verteilen.