[English]Der Lieferkettenangriff auf Kaseya VSA betrifft nach Angaben des Herstellers ca. 1.500 Firmen weltweit. Das geht aus einem Statusupdate vom 5. Juli 2021 hervor. Auch deutsche IT-Häuser sind wohl unter den Opfern. Die REvil-Gruppe fordert derweil um die 70 Millionen US-$-Lösegeld, um den Masterkey zum Entschlüsseln der Systeme freizugeben. Hier ein Überblick über die neuesten Entwicklungen.
Anzeige
Gestern hatte ich im Neues zum Kaseya VSA-Lieferkettenangriff und zum Coop-Schweden-Fall berichtet, dass die REvil-Ransomware-Gruppe 1 Million infizierte Systeme für diesen Angriff reklamiert. Die Gruppe fordert um die 70 Millionen US-$-Lösegeld, um den Masterkey zum Entschlüsseln der Systeme freizugeben. Hört sich gigantisch an, aber es scheinen wohl auch schon niedrigere Summen, die Rede ist von 50 Mio. US-$, als Angebot auf dem Tisch gelegen zu haben.
Kaseya-Statusupdate vom 5. Juli
In einem Statusupdate vom 5. Juli 2021 gibt Kaseya an, dass dem Unternehmen weniger als 60 Kaseya-Kunden bekannt seien, die das VSA On-Premises-Produkt nutzten und direkt von diesem Angriff betroffen waren. Gemeint sind wohl Managed Service Provider, MSP, die IT-Services für mehrere andere Unternehmen bereitstellen. Damit verdreifacht sich die Zahl der betroffenen Kaseya-Kunden, war urspünglich doch von 20 Unternehmen die Rede.
Liest man die Mitteilung von Kaseya, scheint die Zahl von 1 Million infizierten System, die REvil reklamiert, doch arg weit hergeholt zu sein. Denn obwohl viele der Kaseya VSA Kunden IT-Services für mehrere andere Unternehmen bereitstellen, sind nach den Erkenntnissen von Kaseya bisher insgesamt weniger als 1.500 Unternehmen betroffen. Der Herstellter schreibt, dass er keine Beweise gefunden habe, dass einer seiner SaaS-Kunden kompromittiert wurde. Und seit Samstag, dem 3. Juli, hat Kaseya keine neuen Berichte über Kompromittierungen bei VSA-Kunden erhalten. VSA ist das einzige Kaseya Produkt, das von dem Angriff betroffen ist; alle anderen IT-Lösungen des Herstellers (als Complete-Module bezeichnet) sind nicht betroffen.
Auf Twitter bin ich über den obigen Tweet gestolpert, der informiert, dass Kaseya zwei PowerShell-Scripte veröffentlicht habe, mit denen sich die kompromittierten oder angreifbaren Maschinen identifizieren lassen. Was stört, ist dass die Scripte auf einer Webseite liegen, die nichts mit Kaseya zu tun haben. Und man muss sich anmelden, um an die Scripte heran zu kommen. Möglicherweise hat jemand die von Kaseya kopiert und dort eingestellt. Auf der Kaseya-Webseite habe ich auf die Schnelle nichts dazu gefunden.
Deutsche Opfer bekannt?
Das Bundesamt für für Sicherheit in der Informationstechnik (BSI) schreibt in seiner gestrigen Mitteilung (siehe mein Artikel), dass in Deutschland mehrere IT-Dienstleister und Unternehmen betroffen seien. Das BSI gibt aber keine Auskunft über Details oder die Betroffenen, schreibt aber, dass kritische Infrastrukturen oder die Bundesverwaltung nach derzeitiger Kenntnis des BSI nicht betroffen sind. Bei Golem habe ich die Information gefunden, dass zwei deutsche Unternehmen sich beim BSI als betroffen gemeldet hätten, ohne dass Namen genannt wurden.
Es bleibt also schwierig, herauszufinden, wer betroffen ist, solange sich die Betroffenen nicht öffentlich erklären. Ich habe mal etwas gesucht, ob ich da fündig werden. So richtig viel Erfolg hatte ich nicht. Auf der deutschen Kaseya-Webseite habe ich nur das Systemhaus Conform IT aus Henstedt-Ulzburg (bei Hamburg) als Referenzkunden gefunden, das die VSA-Software von Kaseya seit über 10 Jahren einsetzt. Bei einer kurzen Suche auf deren Webseite konnte ich aber keinen Hinweis entdecken, dass diese Firma und deren Kunden vom Lieferkettenangriff betroffen waren.
Von Blog-Lesern wurden mir noch Maris-IT aus Flensburg und Bolte IT (in der Nähe von Kiel) als Unternehmen genannt. Auf der Webseite von Maris-IT habe ich ebenfalls keine Information zum Kaseya-Angriff gefunden. Lediglich die Firma Bolten IT hat zum 3. und 5. Juli 2021 auf ihrer Webseite einen Angriff auf die eingesetzte VSA-Lösung eingeräumt:
Anzeige
Sehr geehrte Kunden,
der Hersteller Kaseya des von uns eingesetzten „Managed Service System" wurde gehackt. Dabei wurde Zugriff auf Kaseyaserver der Systemhäuser in den Rechenzentren erlangt. Die Angreifer nutzten die Systeme um massenhaft Angriffe auf die Endgeräte der Kunden durchzuführen. Trotz aller Vorsichtsmaßnahmen wurden Systeme unserer Kunden verschlüsselt. Nun soll so Lösegeld erpresst werden. Wir stehen in ständigem Kontakt mit dem Hersteller um Ihnen so schnell wie möglich eine Lösung anbieten zu können und möchten Sie hier über den aktuellen Stand auf dem Laufenden halten.
Was wissen wir und was nicht?
Der Angriff begann bei uns am Freitag, 02.07.2021 um ca. 18:30 Uhr. Es gab parallel eine Attacke direkt auf eine Sicherheitslücke in Windows („PrintNightmare"), deren Ausnutzung wir gerade verhindern wollten. Dann stellte sich heraus, dass die Angriffe über Kaseya erfolgten. Wir haben um 19:50 Uhr sämtliche Verbindungen von und zu Kaseya gekappt. Daraufhin endeten die Attacken auf neue Geräte. Um 21:00 Uhr informierte uns der Hersteller, dass er vermutlich Opfer eines Hackerangriffes geworden ist. Im Laufe des Abends stellte sich heraus, dass der Angriff wesentlich umfangreicher ist als ursprünglich angenommen. Es wurden eine Vielzahl an Servern und Computern verschlüsselt, die zwischen 18:30 und 19:50 Uhr online waren. Die Verschlüsselung erfolgte mit einer sogenannten Ransomware die lokale Daten verschlüsselt und das ebenso im Netzwerk versucht. Es ist aktuell unklar, ob damit gezielt der Hersteller erpresst werden soll und es ein zentrales Entschlüsselungspasswort gibt.
Welche Kunden betroffen sind, wird verständlicherweise nicht ausgeführt. Unter diesem Gesichtspunkt bleibt weiterhin unklar, wie viele Kunden in Deutschland letztendlich betroffen sind. Ergänzung: Golem hat in diesem Artikel weitere Namen deutscher Firmen genannt, die VSA einsetzen, teilweise betroffen waren oder Glück hatten.
Ähnliche Artikel:
REvil Ransomware-Befall bei 200 Firmen über Kaseya VSA und Management Service Provider (MSP)
Coop-Schweden schließt 800 Geschäfte nach Kaseya VSA-Lieferkettenangriff durch REvil-Gang
Neues zum Kaseya VSA-Lieferkettenangriff und zum Coop-Schweden-Fall
2015
Windows 10 soll doch Ransomwareangriffe durch die Ordnerüberwachung (überwachter Ordnerzugriff, Controlled folder access) verhindern können.
Funktioniert diese Win10-Funktion etwa gar nicht oder warum ist dieser Ransomwareangriff trotzdem erfolgreich gewesen?
Hatten die Opfer diese Schutzfunktion selber abgeschaltet oder hat der Angreifer diesen Schutz umgangen?
Der überwachte Ordnerzugriff ist meines Wissens zwar vorhanden, der Defender weist auch immer darauf hin. Aber wenn man ihn nicht einschaltet dann kann er auch nicht helfen. Aber hier ging es um die Ausnutzung einer Sicherheitslücke im Betriebssystem, um Serversysteme und nicht um Ordner auf Windows10 Home.
ist das hier jetzt als schräger Humor zu werten….
@Bolko: Der überwachte Ordnerzugriff funktioniert nur für explizit ausgewählte Ordner. Wer schon einmal nur den Downloadordner damit geschützt hat und versucht hat mit mehreren Browsern/Programmen darin zu schreiben weiß was das für ein Verwaltungshorror sein kann. Für das ganze OS wäre das eine Bankrotterklärung.
Die Ransomware ist so ausgereift, dass diese Funktion der Ordnerüberwachung vor dem Angriff sicherlich deaktiviert wird.
Ansonsten wäre Ransomware ja ziemlich nutzlos, wenn man nur allein durch die Auswahl aller Ordner für den überwachten Ordnerzugriff Ransomware-Attacken verhindern kann.
Wenn die Ransomware den Ordnerschutz deaktivieren kann, dann ist die zusätzliche "Manipulationsschutz"-Sicherheitsfunktion von Windows 10 also ebenfalls sinnlos, da nicht funktionsfähig wenn es drauf ankommt.
Die ransomware hat den Windows Defender teilweise ersetzt. Die Verschlüsselung wurde daraufhin von einem autorisierten Systemdienst vorgenommen bzw. einer gefälschten Systemdatei die den Part des Systemdienstes übernommen hat.
Wenn irgendjemand die Ordnerüberwachung trotz immensen Verwaltungsaufwand aktiviert gehabt hätte, sie hätte definitiv nicht gegriffen.
Hier war die einzige Chance ein Fremdprodukt mit Verhaltenserkennung und Zero Trust.