Coop-Schweden schließt 800 Geschäfte nach Kaseya VSA-Lieferkettenangriff durch REvil-Gang

Sicherheit (Pexels, allgemeine Nutzung)[English]Die genossenschaftlich organisierte schwedische Supermarktkette Coop musste Freitag-Abend und Samstag ihr 800 angeschlossenen Geschäfte nach einem Ransomware-Angriff auf einen für Abrechnung und Kassensysteme zuständigen Dienstleister schließen. Das Ganze steht in direktem Zusammenhang mit dem Lieferkettenangriff auf die RRM Kaseya VSA und dem Folge-Cyber-Angriff auf mindestens acht große US Managet Service Provider (MSP).


Anzeige

Was über Coop-Schweden bekannt ist

Coop-Schweden ist eine genossenschaftlich organisierte schwedische Supermarktkette, die für gut 20% der Umsätze in diesem Bereich verantwortlich ist. Vor einigen Stunden kam die Meldung (siehe z.B. nachfolgender Tweet von Sicherheitsforscher Kevin Beaumont), dass Coop Schweden ihre 800 Ladengeschäfte geschlossen habe.

Coop Sweden closed 800 stores after Cyber Attack

In den Märkten wurden die Kunden am Samstag mittels Aushängen über ein IT-Problem informiert.

Coop Sweden IT Problem

Von Coop wurde später eine Stellungnahme auf der Webseite  herausgegeben, die in der Originalfassung nachfolgend zu sehen ist. Der Text besagt folgendes:

Coop Notification about Cyber Attack

Im Moment sind viele unserer Filialen vorübergehend geschlossen. Die folgenden Filialen sind NICHT betroffen und haben geöffnet: der Online-Shop auf coop.se, Filialen in Värmland, Oskarshamn, Tabergsdalen, Norrbotten und Gotland.
Einer unserer Lieferanten ist von einem IT-Angriff betroffen und deshalb funktionieren die Kassen nicht. Wir entschuldigen uns dafür und tun alles, um bald wieder zu öffnen.

Die einzige harte Information besteht in der Information, dass einer der "Lieferanten" von einem IT-Angriff betroffen sei. Details nennt Coop-Schweden aber nicht. Diversen Berichten zufolge hofft Coop die Länden am Sonntag wieder öffnen zu können.

Zahlungsdienstleister Visma EssCom betroffen

Nach meinen Informationen ist das Wort "Lieferant" eher als Dienstleister zu übersetzen, denn es hat wohl den Dienstleister Visma EssCom, der für die Abrechnung und die Kassenterminals zuständig ist, getroffen. Auf seiner Webseite bestätigt der Dienstleister einen Angriff.


Anzeige

Software-Anbieter Kaseya von globalem Cyber-Angriff betroffen, der Einzelhändler betrifft

Kaseya, ein Anbieter von Software für die Remote-Verwaltung und den Betrieb von Einzelhandels-Clients und -Servern, ist das Ziel eines Cyber-Angriffs, von dem derzeit Visma EssCom und viele andere Unternehmen weltweit betroffen sind.

Durch den Angriff kann die von Visma EssCom und vielen anderen Dienstleistern im Einzelhandel eingesetzte Kaseya-Software genutzt werden, um einen Ransomware-Virus auf Clients und Server in den IT-Umgebungen der Kunden zu verbreiten.

Die kritischste Folge ist, dass Einzelhändler ihre Kunden nicht belasten können, wenn ihre Kassen infiziert sind. Der Angriff auf Kaseya wurde am Freitagabend entdeckt.

Visma hat alle verfügbaren Ressourcen mobilisiert, um den Betroffenen gemeinsam mit unseren Partnern und Sicherheitsberatern zu helfen.

Der Dienstleister wurde also bereits Freitag Abend durch den Angriff auf Kaseya VSA betroffen, worauf sich eine Ransomware auf deren IT-Systemen ausbreiten konnte. Diese Infektion konnte bis Samstag nicht gelöst werden, weshalb keine Abrechnungen möglich wurden. Die Kollegen von The Record berichten hier, dass Fabian Mogren, CEO von Visma Esscom, gegenüber der schwedischen Presse bestätigt habe, dass sie einer der Software-Lieferanten von Coop sind und von dem Kaseya-Vorfall betroffen waren. Darüber hinaus zeigt eine alte Pressemitteilung aus dem Jahr 2009, dass Kaseya mit einem anderen Coop-Anbieter zusammengearbeitet hat, um eine breite Palette von Softwarelösungen zu entwickeln.

Der Lieferkettenangriff auf Kaseya VSA

Die Nacht hatte ich im Blog-Beitrag REvil Ransomware-Befall bei 200 Firmen über Kaseya VSA und Management Service Provider (MSP) über den Lieferkettenangriff auf Kaseya VSA durch die REvil Ransomware-Gruppe berichtet. Über die Remote Management Monitoring (RMM) Lösung VSA gelang es der Gruppe, mindestens acht Management Service Provider (MSP), die als Dienstleister vielen Kunden die IT-Infrastruktur bereitstellen, mit Ransomware zu infizieren. Die Ransomware kam als Update für die VSA-Management-Lösung und hatte zur Folge, dass den MSPs der Zugriff auf die administrativen Zugriffe auf VSA-Server gesperrt wurden. Im Anschluss wurden die IT-Systeme durch die REvil Ransomware verschlüsselt.

Das betrifft mindestens 200 Firmen, die Kunden dieser MSPs waren. Hört sich alles so fern an, da das vor allem US-Unternehmen betroffen hat – der Zeitpunkt ist optimal gewählt, da der 4. Juli der Unabhängigkeitstag in den USA ist. Allerdings haben ich nach meinem Post des oben verlinkten Artikels zum REvil Ransomware-Befall in Facebook-Gruppen Administratoren gemeldet, die die Kyseya VSA-Lösung im Einsatz haben. Nach bisherigen Informationen konnten die VSA-Server aber schnell genug heruntergefahren werden, bevor die REvil-Ransomware aktiv werden konnte.

Ergänzende Informationen

Allerdings bin ich bei heise auf diesen Kommentar gestoßen, wo ein Betroffener berichtet, dass sein Unternehmen die Kaseya VSA-Software über Konica administriert einsetzt. Und deren Systeme wurden Freitag wohl verschlüsselt.

Kaseya Monitoring Konica

Hallo,

wir haben diese Software zum Monitoring auf unseren Servern im Büro, die Betreuung erfolgt durch Konica. Gestern Abend wurde unser gesamtes System verschlüsselt, vielleicht auch im Zusammenspiel mit dem jetzigen Exploit für Drucker / Warteschlange. Ich hoffe die Sicherungen auf den NAS Festplatten intern und extern sind nicht befallen.

Ich denke nicht, dass nur 40 Unternehmen betroffen sind.
Wie aus dem Artikel hervorgeht war es doch bekannt das diese Software anfällig ist? War es also grob fahrlässig sie weiterhin zu nutzen? Wahrscheinlich wird das rechtliche Konsequenzen haben. Für Infos bin ich dankbar.

Einige, mir nicht bekannte, Hintergründe zur Kaseya VSA-Lösung gibt es in diesem Kommentar – die Stichhaltigkeit der Aussagen kann ich aber nicht beurteilen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit Ransomware, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu Coop-Schweden schließt 800 Geschäfte nach Kaseya VSA-Lieferkettenangriff durch REvil-Gang

    • Dat Bundesferkel sagt:

      Hachja, schön, daß Du mehr weißt, als Experten. :-)

      ""We're not sure it's the Russians," he said. "The initial thinking was, it was not Russian government, but we're not sure yet."" – Dein eigener (erster) Link. Ist 'ne Aussage von Biden. Der nun nicht wirklich ein Rußland-Freund ist.

      Buhu, der eiserne Vorhang fällt wieder, Putin kommt mit Krückstock angerannt und erklärt dem Planeten den Krieg.

      Wie kann man eigentlich in einer aufgeklärten Gesellschaft nur so Russen-Phob sein?

      Militärische Übungen sind Standard. Machen die Amerikaner fortwährend, gerade in den nördlichen Ländern… da, wo Coop 800 Läden schließen mußten. Wollen wir daraus nun auch Blödsinn spinnen?

      • 1ST1 sagt:

        Naja, inzwischen lässt Biden den Vorfall von seinen Geheimdiensten untersuchen.

        https://orf.at/stories/3219744/

        "Ein Cyberangriff auf die US-IT-Firma Kaseya sorgt kurz vor dem amerikanischen Unabhängigkeitstag für Rätselraten. US-Präsident Joe Biden sagte am Samstag, dass man ursprünglich nicht die russische Regierung hinter der Attacke vermutet habe. Mittlerweile sei man sich diesbezüglich aber „nicht sicher". Biden beauftragte die US-Geheimdienste, den Fall zu untersuchen. "

        Heute morgen auf dem Radiowecker in hr3 klang das aber eher so, dass es höchstwahrscheinlich eine aus Russland erfolgter Angriff sein soll. Ob der Angriff aber staatlich, oder durch unabhängie Kriminelle erfolgte, ist damit aber nicht klar, Putin kann ja immer noch eine reine Weste haben, davon abgesehen dass er seine Kriminellen vor Zugriff aus dem Ausland schützt. Aber wer sich an den Fall Solarwinds erinnert fühlt, liegt wohl richtig.

  1. Anonymous sagt:

    Last uns die IT doch outsourcen, was kann schon schief gehen ;)

  2. Steter Tropfen sagt:

    Da geht noch viel mehr: Nachdem in Schweden sogar auf jedem Bauernmarkt bargeldlose Bezahlung üblich ist, ließe sich mit einem Angriff auf die digitalen Bezahldienstleister die gesamte Wirtschaft lahmlegen. Da bliebe dann vielleicht noch der Tauschhandel, aber so viele Eier und Zigaretten gäbe es gar nicht.

    Bevor auch bei uns der letzte Euroschein eingestampft wird, täte so ein Schuss vor den Bug der Digitalisierungsfreaks mal ganz gut.

  3. Robert sagt:

    Oder ist es ein Zufall, wenn die Qualität beim Bau der Software aus Miami Parallelen mit der dortigen Gebäuden aufweist?

    Aber ernsthaft, seit mindestens acht Jahren ist klar, mit welchen Werkzeugkästen die Geheimdienste unterwegs sind und nicht nur denen sind viele dieser Werkzeuge abhanden gekommen. Seit mindestens vier Jahren ist bekannt, auf welches Betriebssystem etwa 99% der Ransomware-Angriffe abzielen. Wenn Unternehmen so etwas immer noch als Nebenschauplatz auf die leichte Schulter nehmen oder gar billigst "weg sourcen" fällt Mitleid schwer.

  4. Svenson sagt:

    Schafft das Bargeld ab, sagten sie, nutzt einfach "Swish", sagten sie.

    In ländlichen Regionen in Schweden läuft praktisch die Komplettversorgung der Bevölkerung über einen lokalen Coop.

    Boom.

    Und nicht diese Ransomware oder ein böser Hacker sind hier das Problem, sondern die Abhängigkeit von einem "single point of failure" der dazu noch unter ausländischer Kontrolle ist. Sowas kann gezielt auch jederzeit ohne Hacker passieren, wenn das jemand möchte…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.