REvil verteilt Ransomware per Supply-Chain-Angriff Kaseya kämpft mit Folgen der VSA-Attacke

Autor / Redakteur: M.A. Dirk Srocke / Peter Schmitz

Nach einem Supply-Chain-Angriff auf Kaseya VSA versucht der Anbieter aktuell, seine Lösung für Unified Remote Monitoring & Management wieder online zu bringen. Die der Ransomwaregruppe REvil zugeschriebene Attacke betrifft schätzungsweise bis zu 1.500 Unternehmen.

Firma zum Thema

Weil REvil Kasse machen will, muss Coop die Kassen schließen.
Weil REvil Kasse machen will, muss Coop die Kassen schließen.
(Bild: ©Patrick Daxenbichler - stock.adobe.com)

Am 2. Juli wurde bekannt: Angreifer versuchen über Kaseya VSA eine Ransomware zu verbreiten. Und laut Kaseya hätte die Attacke noch weitaus folgenschwerer ablaufen können. Als am 2. Juli erste Unregelmäßgikeiten bei VSA-Systemen auffielen, hat das Unternehmen nach eigenen Angaben innerhalb einer Stunde gehandelt und die eigenen Server heruntergefahren. Zusätzlich habe man alle On-Premise-Nutzer gebeten, das gleiche zu tun.

War die Lücke schon vorher bekannt?

Zugleich schreibt das Dutch Institute for Vulnerability Disclosure allerdings auch: Man habe Kaseya über Zero-Day Vulnarabilities informiert, die jetzt ausgenutzt würden. Die genannte ID CVE-2021-30116 wurde laut MITRE bereits im April angelegt. Dem Vernehmen nach hat sich Kaseya kooperativ gezeigt und um eine Behebung der Schwachstellen bemüht.

Anscheinend aber nicht schnell genug, denn jetzt konnte doch noch die „REvil“-Gruppe zugeschlagen, hinter der laut Medienberichten russische Hacker vermutet werden. Die wollten offenbar über manipulierte Updates eine Ransomware einzuspielen. Sicherheitsdienstleister Eset führt diese unter der Bezeichnung „Win32/Filecoder.Sodinokibi.N“; Kaseya hat ein Werkzeug veröffentlicht, das kompromittierte Systeme erkennen soll.

KMU über IT-Systemhäuser betroffen

Laut Kaseyas Schätzungen betroffen sind offenbar um die 50 Kunden des Moduls für Remote Monitoring & Management (RMM); weil darunter auch IT-Systemhäuser sind, ergäben sich letztlich Einschränkungen bei bis zu 1.500 durch Dienstleister betreute Unternehmen.

Als besonders medienwirksam stellten sich IT-Störungen bei der schwedischen Einkaufkette Coop heraus: Die musste wegen lahmgelegter Kassen hunderte von Supermärkten schließen.

Re-Deployment gerät ins Stocken

Aktuell arbeitet Kaseya daran, die eigenen Server für VSA SaaS wieder online zu bringen und zusätzlich abzusichern. Hierbei setzt man unter anderem auf den Dienstleister Cloudflare und hat die IP-Adressen des eigenen Angebots entsprechend angepasst. Stand 7. Juli hat sich SaaS-Deployment allerdings wegen unerwarteter Probleme verzögert.

Ein Patch für lokal installierte Server (On-Premises) will Kaseya innerhalb von 24 Stunden nach Wiederherstellung der eigenen SaaS bereitstellen.

Das BSI hat den Vorfall als geschäftskritisch eingestuft (IT-Bedrohungslage: 3/Orange) und aktuelle Erkenntnisse in einer BSI-Cyber-Sicherheitswarnung zusammengefasst. Kaseya selbst liefert per Helpdesk regelmäßig aktualisierte Updates zum „VSA Security Incidient“.

Kaseya beansprucht die Kommunikationshoheit

Seine Homepage samt der regelmäßig aktualisierten Updates will der Anbieter übrigens auch als endgültige und aktuellste Informationsquelle verstanden wissen. Zusätzlich hat das Unternehmen am 6. Juli ein YouTube-Video zum Vorfall veröffentlicht. Darin spricht CEO Fred Voccola von einem unerhörten und kriminellen Angriff auf die Kunden des Unternehmens und liefert weitere Bewertungen. Tenor: Sicherheitsvorfälle seien unausweichlich, das hätten in der Vergangenheit schon Angriffe auf Microsoft, Juniper Networks und SolarWinds gezeigt; Kaseya habe aktuell jedoch gut vorbereitet und zügig reagiert, um die Auswirkungen in Grenzen zu halten.

(ID:47495206)

Über den Autor