Supply-Chain-Angriff bei Kaseya: Warnung für Unternehmen vor Ransomware aus allen Richtungen

Inzwischen Zehntausende von Kaseya-Kundensystemen weltweit betroffen

[datensicherheit.de, 07.07.2021] Mit dem Kaseya-Vorfall kam es offensichtlich erneut zu einem Supply-Chain-Angriff, an dem ein weiteres IT-Dienstleistungsunternehmen beteiligt war. „Angreifer verschafften sich Zugang zu den IT-Systemen, um Code zu ändern, der als einfaches Update an Kunden und deren Kunden verschickt wurde und inzwischen Zehntausende von Kundensystemen weltweit betrifft.“ Bösartiger Code sei angesichts der bestehenden Prozesse als vertrauenswürdig deklariert worden und habe sich lateral in den Netzwerken verbreitet, um IT-Systeme quasi als Geiseln zu nehmen. Ryan Chapman, „Instructor & Author“ am SANS Institute, geht in seiner Stellungnahme zu diesem Vorfall auf den „Faktor Mensch“ ein.

Foto: SANS Institute

Ryan Chapman: Das neue Normal in der Welt der Cyber-Sicherheit – IT-Dienstleister angreifen, um Kettenreaktion auszulösen

Kaseya-Vorfall erinnert an SolarWinds Sunburst und den Windows Exchange-Angriffen der HAFNIUM-Gruppe

Die ersten Opfer in Europa seien ein schwedischer Supermarkt, ein Bahnunternehmen und eine Apothekenkette. Es werde erwartet, dass die Kettenreaktion Organisationen in mindestens 17 Ländern treffe, darunter auch Deutschland, „wo drei IT-Dienstleistungsunternehmen und deren Kunden, vor allem Kleinstunternehmen, ebenfalls betroffen sind“.
Insgesamt handele es sich wohl um mehr als 1.000 infizierte Computer. Der Fall ähnele dem von „SolarWinds Sunburst“ und den „Windows-Exchange“-Angriffen der „HAFNIUM“-Gruppe. Leider scheine es das „neue Normal in der Welt der Cyber-Sicherheit“ zu sein, IT-Dienstleister anzugreifen, um eine Kettenreaktion ähnlich fallender Dominosteine auszulösen.

Auch beim Kaseya-Vorfall: Wichtigster Aspekt für Cyber-Sicherheit eines Unternehmens sind Menschen

Für Chapman sind nach eigenen Angaben die Menschen der wichtigste Faktor, wenn es darum geht, Ransomware zu bekämpfen. Menschen seien von zentraler Bedeutung, denn man könne keine Prozesse oder Technologien ins Spiel bringen, geschweige denn richtig verwalten, „wenn man keine Menschen zur Verfügung hat“.
Zu oft habe es Incident-Response-Fälle gegeben, bei denen der ursprüngliche Infektionsvektor durch eine nicht befolgte Richtlinie oder durch eine technologische Lösung ausgelöst worden sei, „die nicht richtig implementiert oder konfiguriert war“. Chapman betont: „Der wichtigste Aspekt für die Cyber-Sicherheit eines Unternehmens sind daher die Menschen. Und zwar gut ausgebildete Mitarbeiter, die unnötige Fehler vermeiden.“

Technische Implementierung einer Endpoint Detection Response allein unzureichend zur Bewältigung des Kaseya-Vorfalls

„Eine technische Implementierung wie eine starke ,Endpoint Detection Response‘-Lösung nützt einem Unternehmen möglicherweise nichts, wenn keine Alarme generiert werden oder wenn niemand diese Alarme im Blick hat. Managemententscheidungsprozesse wie eine Sicherheitsüberprüfung in die Entscheidungen des Änderungskontrollgremiums einzubeziehen, nützen nichts, wenn die ,Mitarbeiter‘, die diese Änderungen überprüfen, nicht aufpassen.“
Chapman ergänzt abschließend, dass es auch nichts nutze, wenn sie nicht wüssten, worauf sie achten müssten. „Wir als ,Security Community‘ haben uns für Technologien und Prozessen eingesetzt, aber wir vergessen oft den allzu wichtigen menschlichen Aspekt bei diesen Maßnahmen“, warnt er.

Weitere Informationen zum Thema:

datensicherheit.de, 06.07.2021
Kaseya-Ransomware-Angriffe – Sicherheitsteams rund um den Globus machen Überstunden / REvil soll derzeit eine der produktivsten Ransomware-Gruppen sein

datensicherheit.de, 06.07.2021
Kaseya-Vorfall: Womöglich Tausende Unternehmen ins Visier Cyber-Krimineller geraten / Auch deutsche Unternehmen von Ransomware betroffen, welche auf Schwachstellen in der Kaseya-Software abzielt

SANS Institute
Cyber Security Training