Kaseya hat nach Ransomware-Angriff Entschlüsselungstool erhalten

Sicherheit (Pexels, allgemeine Nutzung)[English]Hoffnung für Opfer des Lieferkettenangriffs auf den US-Softwarehersteller Kaseya, in dessen Folge weltweit die Systeme von um die 1.500 Kunden mit Ransomware befallen und die gespeicherten Daten verschlüsselt wurden. Der Hersteller Kaseya hat nun wohl einen Generalschlüssel zum entschlüsseln erhalten und hofft so, die Daten der Kunden retten zu können. Ergänzung: Wie es ausschaut, fordert Kaseya von den Opfern eine Unterschrift unter eine Vertraulichkeitserklärung (NDA), bevor es eine Entschlüsselungslösung gibt.


Anzeige

Zum Hintergrund des Falls

Anfang Juli 2021 gab es einen erfolgreichen Lieferkettenangriff auf Kaseya VSA. Das ist eine Remote Management und Monitoring Software (RMM), die von vielen Managed Service Providern (MSPs) verwendet wird. Durch den Lieferkettenangriff wurde Malware auf alle Kundensysteme, bei denen VSA im Einsatz war, ausgeliefert. Ich hatte hier im Blog berichtet (siehe Links am Artikelende).

In Folge der Malwareinfektion schlug der Verschlüsselungstrojaner der REvil Ransomware-Gruppe zu und verschlüsselte die IT-Systeme von weltweit ca. 1.500 Firmen. Bei der schwedischen Coop-Gruppe mussten 800 Supermärkte schließen (siehe Coop-Schweden schließt 800 Geschäfte nach Kaseya VSA-Lieferkettenangriff durch REvil-Gang).

Nach und nach werden weitere Details bekannt. So wurde die für den Angriff ausgenutzte Schwachstelle im April 2021 an Kaseya gemeldet – und in deren Verwaltungs-Software ist eine seit 2015 bekannte Schwachstelle immer noch offen. Bekannt ist auch, dass die REvil-Gruppe erst 70 Millionen, später 50 Millionen US-Dollar für die Freigabe eines Generalschlüssels forderte. Allerdings ist diese Gruppe kürzlich von der Bildfläche verschwunden (siehe Server und Infrastruktur der REvil Ransomware-Gruppe ist abgeschaltet).

Kaseya hat einen Generalschlüssel

Am 22. Juli 2021 hat Kaseya in dieser Mitteilung bekannt gegeben, dass man einen Universal Decryptor-Key für die verschlüsselten Daten „von einem Dritten“ erhalten habe.

On 7/21/2021, Kaseya obtained a decryptor for victims of the REvil ransomware attack, and we’re working to remediate customers impacted by the incident.

We can confirm that Kaseya obtained the tool from a third party and have teams actively helping customers affected by the ransomware to restore their environments, with no reports of any problem or issues associated with the decryptor. Kaseya is working with Emsisoft to support our customer engagement efforts, and Emsisoft has confirmed the key is effective at unlocking victims.

We remain committed to ensuring the highest levels of safety for our customers and will continue to update here as more details become available.

Customers who have been impacted by the ransomware will be contacted by Kaseya representatives.

Was da genau gelaufen ist, bleibt unklar. Sicherheitsforscher hatten gemutmaßt, dass nur ein Opfer zahlen musste, um einen Schlüssel zu bekommen, der für alle Opfer die Entschlüsselung ermöglicht. Kaseya arbeitet mit Emsisoft bei der Entschlüsselung zusammen. Wer betroffen ist, muss sich mit dem Kaseya-Support in Verbindung setzen, um weitere Einzelheiten zu erfahren. (via, via)

Kaseya fordert NDA von Opfern

Ergänzung: Wie es ausschaut, fordert Kaseya von den Opfern eine Unterschrift unter eine Vertraulichkeitserklärung (NDA), bevor es eine Entschlüsselungslösung gibt. Ich bin gerade auf den nachfolgenden Tweet gestoßen.Kaseya requests NDA from victims

Dort heißt es, dass der Vertrieb von Kaseya nicht auf Kundenanfragen reagiere und falls doch was zurückkommt, eine zu unterschreibende Vertraulichkeitsvereinbarung. Das ist ja wirklich das allerletzte.

Die Sicherheitsforscher von Huntress haben diesen Blog-Beitrag mit Details zum Lieferkettenangriff veröffentlicht.

Ähnliche Artikel:
REvil Ransomware-Befall bei 200 Firmen über Kaseya VSA und Management Service Provider (MSP)
Coop-Schweden schließt 800 Geschäfte nach Kaseya VSA-Lieferkettenangriff durch REvil-Gang
Neues zum Kaseya VSA-Lieferkettenangriff und zum Coop-Schweden-Fall
Kaseya-Hack betrifft weltweit 1.500 Firmen, auch in Deutschland
Nachbereitung zum Kaseya-Lieferkettenangriff


Anzeige


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit Ransomware, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Kaseya hat nach Ransomware-Angriff Entschlüsselungstool erhalten

  1. Chris sagt:

    Oder das war die „Wir kommen aus dem Gefängnis frei“ Karte der der REvil Gruppe.

    Gefühlt scheint es mir, das grade größer Gruppen sich auf recht dünnen Eis bewegen wenn es Angriffe auf Amerikanische Firmen und Infrastrukturen gibt. Server werden gekapert, Geldströme geschlossen, Infrastrukturen ausgehoben.

    Würde mich nicht wundern wenn man bald gezielt Amerikanische Ziele verschont, so wie es auch bei russischen Firmen schon der Fall ist, und Ransomware auf die EU beschränkt wird.

  2. No sagt:

    Der Österreicher Hauenschild hat in seinem Blog den Code für die Eingabe des Passwort gezeigt. Wenn man sich vertippt, wird der Zugang verweigert, wenn man völligen Unfug eingibt, kommt man rein.

    Ich möchte keine Fake-News verbreiten, also lasse ich es offen, die Hauensschild recht hat.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.