Ransomware

Das sagen Experten zum Kaseya-Angriff

12.07.2021
Von Redaktion Computerwoche und Redaktion CIO
Anfang Juli traf eine Cyberattacke den Service-Provider Kaseya und breitete sich von dort auf weitere Unternehmen aus. Sicherheitsexperten haben den beispiellosen Angriff nun analysiert.

Mit "Kaseya VSA" bietet das Unternehmen eine Lösung zur Fernüberwachung und -verwaltung von Computersystemen an, die von Managed Service Providern (MSPs) und Unternehmen eingesetzt wird. Für Richard Werner, Business Consultant bei Trend Micro, war der Angriff auf diese Infrastruktur (siehe auch: Ransomware legt über 1.000 Firmen lahm) eine der größten Cyberattacken überhaupt. "Die Tatsache, dass der Angriff an einem der wichtigsten Feiertage der USA stattfand, ist kein Zufall, sondern sorgfältiges Kalkül der Täter", sagt Werner und verweist auf die an Wochenenden und Feiertagen unterbesetzten Security Teams in den Unternehmen.

Das Bild vom einsamen Hacker ist nicht mehr korrekt: Kriminelle Organisationen wie REvil haben ein weltweites Geschäftsmodell rund um "Ransomware as a Service" aufgebaut.
Das Bild vom einsamen Hacker ist nicht mehr korrekt: Kriminelle Organisationen wie REvil haben ein weltweites Geschäftsmodell rund um "Ransomware as a Service" aufgebaut.
Foto: Joe Prachatree - shutterstock.com

Laut der News-Plattform Bleepingcomputer sollen etwa 50 direkte Kunden der IT-Management-Software von Kaseya betroffen gewesen sein - die aber waren Managed-Service-Provider und haben 1000 bis 1500 ihrer Kunden infiziert. Trend Micro bestätigt, dass es auch in Deutschland Vorfälle gab. Auch wenn die Dimension des Angriffs einmalig war, sind die Muster doch allseits bekannt: Die Angreifer nutzten eine Sicherheitslücke in der Software, die deren Anbieter bereits entdeckt, aber noch nicht geschlossen hatte.

Trend Micro: Wir stehen am Anfang einer neuen Welle

Den Angreifern blieb nur wenige Stunden Zeit, da Kaseya mit der Behebung der Schwachstelle begonnen hatte (ein Patch ist inzwischen verfügbar). Es handelte sich also um einen Zero-Day-Exploit-Angriff. Der Service-Provider war über ein sogenanntes Responsible Disclosure auf das Problem aufmerksam gemacht worden. Die Patch-Problematik ist für IT-Sicherheitsexperten nicht neu, allerdings bezog sie sich bislang eher auf weit verbreitete Software von Microsoft & Co. Jetzt suchen die Angreifer offenbar auch bei IT-Dienstleistern nach Schwachstellen, vor allem in Software für die direkte Kommunikation mit mehreren Kundengeräten.

Der Vorfall wird in der Security-Branche als "Supply-Chain-Angriff" eingeordnet. In dieser noch jungen, aber relevanter werdenden Kategorie geht es darum, über IT-Dienstleister aktivierbare IT-Verbindungen für Angriffe bei deren Kunden zu nutzen. Attackiert werden laut Trend Micro Update-Mechanismen, die direkt Aktualisierungen in fremden Systemen vornehmen, oder auch Fernwartungssysteme, Auftragsverarbeitungen und ähnliches. Supply-Chain-Angriffe seien noch selten, weil Angreifer mit Komplikationen und hohem Aufwand rechnen müssten.

Trend Micro glaubt, dass auf die globale Wirtschaft eine ganze Welle solcher Angriffe zukommen könnte. Zwei Faktoren begünstigten die Verbreitung von Supply-Chain-Attacken: Die immer komplexere und unübersichtlichere IT-Security in Unternehmen und die einfachen und aus Sicht der Gangster sicheren Zahlungsmöglichkeiten via Bitcoin. Das eine führe zu immer mehr Angriffsmöglichkeiten, das andere öffne einem uneingeschränkten Handel mit Malware Tür und Tor. Unternehmen sollten Ihre aktuelle Security-Strategie auf moderne Angriffstechniken prüfen lassen, rät das Unternehmen.

Palo Alto Networks: Die Professionalität der Angreifer wächst

Mit der verantwortlichen Ransomware-Bande REvil (auch bekannt als Sodinokibi) beschäftigte sich derweil die Cybersecurity-Analyseeinheit Unit 42 von Palo Alto Networks. Es handele sich um eine der produktivsten Gruppen, bei von REvil verursachten Angriffen seien in diesem Jahr im Durchschnitt 2,25 Millionen US-Dollar von den Opfern bezahlt worden. Die größte bekannte Lösegeldforderung habe elf Millionen Dollar nach einem viel beachteten Angriff auf den Fleisch-Produzenten JBS Food betragen, bei dem einige Wochen vorher die Verarbeitungsanlagen stillgelegt wurden - vermutlich ebenfalls durch einen Angriff von REvil.

Die Erpresser fordern hohe Lösegelder, sind aber meistens verhandlungsbereit. Nach dem Angriff auf Kaseya forderte die Bande zunächst 70 Millionen Dollar für ein Tool zur Entschlüsselung aller betroffenen Dateien und reduzierte die Forderung später auf 50 Millionen Dollar. Lassen sich die Opfer nicht auf Verhandlungen ein und verweigern die Zahlung, veröffentlicht REvil gestohlene Daten auf seiner Leak-Seite, die sie "Happy Blog" nennt.

Unit 42 beobachtet REvil bereits seit drei Jahren. Die Sicherheitsprofis begegneten den Cybergangstern zum ersten Mal 2018, als sie mit einer als GandCrab bekannten Gruppe zusammenarbeiteten. REvil konzentrierte sich damals noch auf die Verbreitung von Ransomware durch Malvertising und Exploit-Kits, also durch bösartige Werbung und Malware-Tools, mit denen Hacker ihre Opfer durch Drive-by-Downloads infizieren, wenn diese einschlägige Websites besuchen.

REvil ist auch einer der bekanntesten Anbieter von Ransomware as a Service (RaaS). Andere Angreifer können sich dort anpassungsfähige Ver- und Entschlüsselungsprogramme, Infrastruktur und Dienste für die Verhandlungskommunikation besorgen und erhalten bei Bedarf auch eine Leak-Site zur Veröffentlichung gestohlener Daten, falls die Opfer der Lösegeldforderung nicht nachkommen wollen. Für diese Dienste nimmt REvil einen Prozentsatz des ausgehandelten Lösegeldpreises als Gebühr.

Unit 42 hat beobachtet, dass viele Kunden von REvil sich auf Angriffe großer Unternehmen konzentrieren, um möglichst hohe Lösegeldsummen abzuschöpfen. Dabei hängt die Höhe der Lösegelder von der Firmegröße des Opfers und der Art der gestohlenen Daten ab. Außerdem verdoppeln die Angreifer oft ihre Forderung, wenn die angegriffenen Betriebe die Fristen für die Zahlung in Bitcoin nicht einhalten. Weigert sich das Opfer, landen die gestohlenen Daten auf einer Leak-Site.

Mandiant: Die Spuren führen schon wieder nach Russland

Wie Charles Carmakal, Chief Technology Officer von Mandiant beobachtet, wird das RaaS-Angebot von REvil seit Mai 2019 vor allem in russischsprachigen Untergrundforen beworben. Der Service werde von dem Hacker UNKN (auch bekannt als "Unknown") betrieben, der keine englischsprachigen Partner akzeptiere und seinen Kunden explizit verbiete, GUS-Länder einschließlich der Ukraine anzugreifen. Einige der Beteiligten seien vermutlich nicht physisch in Russland ansässig. UNKN soll nach dem spektakulären Anfriff auf den US-Pipeline-Betreiber Colonial darauf bestanden haben, die Ziele der REvil-Angriffe einzuschränken und zu prüfen.

Check Point: Das sollten Anwender jetzt tun

Auch die Threat-Intelligence-Abteilung von Check Point hat den Ransomware-Angriff auf Kaseya genauer unter die Lupe genommen. Allein in den vergangenen zwei Monaten habe es 15 neue REvil-Angriffe pro Woche gegeben, die meisten davon in den Vereinigten Staaten, Deutschland, Brasilien und Indien. Im Vergleich zum vergangenen Jahr sei die Zahl an Attacken mit Erpressersoftware insgesamt global um 93 Prozent gestiegen.

"Wer Kaseya VSA verwendet, trennt es am besten umgehend vom Netzwerk, obwohl es schon zu spät sein könnte", empfiehlt Christine Schönig, Regional Director Security Engineering CER, Office of the CTO bei Check Point Software. Sie empfiehlt Tools für Endpoint und Network Detection and Response (EDR/NDR) sowie andere Tools für die Sicherheitsüberwachung zu verwenden, um die Legitimität aller neuen Dateien in der Umgebung seit dem 2. Juli zu überprüfen. Anwender sollten zudem bei Anbietern von Sicherheitsprodukten erfragen, ob Schutzmaßnahmen für REvil-Ransomware vorhanden sind, und Experten hinzuziehen, um die Situation in der IT-Umgebung zu verifizieren.

Kaseya hat inzwischen Anleitungen und Patches für die On-premises- und die SaaS-Kunden des VSA-Produkts herausgegeben.