Kaseya-Vorfall zeigt Notwendigkeit der Netzwerküberwachung auch in KMU

Angreifer missbrauchten offenbar Zero-Day-Schwachstelle in Unified-Management-Software VSA von Kaseya

[datensicherheit.de, 08.07.2021] „Bei der größten bisher beobachteten Ransomware-Attacke haben die Angreifer eine Zero-Day-Schwachstelle in der ,Unified Management‘-Software ,VSA‘ von Kaseya für einen schwerwiegenden Einbruch in zahlreiche Systeme genutzt. Zu den Zielscheiben gehörten ,Managed Service Provider‘ und deren kleine und mittlere Kundenorganisationen“, erläutert Thomas Krause, „Regional Director DACH-NL“ bei ForeNova, in seiner aktuellen Stellungnahme zum Kaseya-Vorfall. Der Angriff habe sich offenbar vor allem auf On-Premise-Server gerichtet, von denen sich viele KMUs Sicherheit versprächen: „Hacker nutzten laut Huntress Labs bisher unbekannte Arbirtary-File-Upload- und SQLi-Code-Injection-Schwachstellen aus, umgingen dann Authentifikationsverfahren und erlangten Zugriff auf die Server, um später ihre Verschlüsselungssoftware scharf zu schalten.“

Foto: ForeNova Technologies

Thomas Krause: KMU gehen oft noch davon aus, keine Zielscheibe für Hacker zu sein…

Mit Kaseya ein an sich legitimes Sprungbrett missbraucht, um verschiedenste Opfer zu treffen

Wie schon beim Solarwinds-Angriff hätten die Angreifer mit Kaseya ein an sich legitimes Sprungbrett ausgenutzt, um verschiedenste Opfer zu treffen. Große Unternehmen mit eigenen IT-Sicherheitsteams und Werkzeugen dürften in vielen Fällen noch die Mittel gehabt haben, proaktiv nach den sich daraus ergebenden, im Unternehmensnetz schlummernden Gefahren Ausschau zu halten und den Schaden einzudämmen.
Viele kleinere und mittlere Unternehmen (KMU) dagegen gingen oft noch davon aus, keine Zielscheibe für die Hacker zu sein. Krause: „Sie schützen sich daher nur mit Endpoint-Security-Lösungen und Firewalls, die gegen solche ausgefeilte Angriffswege weitgehend wirkungslos bleiben.“

KMU sollten Kaseya-Hack als Weckruf begreifen!

Die KMU könnten den Kaseya-Hack als Weckruf begreifen, dass sie auch ins Netzwerk schauen müssten, um sicher zu bleiben. „Es ist auch für kleine Unternehmen notwendig, sowohl den ein- und ausgehenden Datenverkehr (North-South-Traffic) als auch den gesamten internen Datenverkehr (East-West-Traffic) im Auge zu behalten“, unterstreicht Krause und führt aus:
„Das klingt schwerer als es ist. Geeignete Lösungen entdecken und überwachen alle Netzwerkressourcen automatisiert, entdecken abweichende Verhaltensmuster und decken so scheinbar harmloses Verhalten auf, um Zero-Day-Angriffe zu identifizieren und zu blocken.“

Abbildung: ForeNova Technologies

Network Detection and Response (NDR) (wie z.B. die „NovaCommand“-Lösung) bietet 360-Grad-Blick über alle IT-Ressourcen hinweg und kann auffälliges Verhalten im ganzen Netz erkennen

Weitere Informationen zum Thema:

HUNTRESS, John Hammond, 03.07.2021
Rapid Response: Mass MSP Ransomware Incident

datensicherheit.de, 07.07.2021
Supply-Chain-Angriff bei Kaseya: Warnung für Unternehmen vor Ransomware aus allen Richtungen / Inzwischen Zehntausende von Kaseya-Kundensystemen weltweit betroffen

datensicherheit.de, 06.07.2021
Kaseya-Ransomware-Angriffe – Sicherheitsteams rund um den Globus machen Überstunden / REvil soll derzeit eine der produktivsten Ransomware-Gruppen sein

datensicherheit.de, 06.07.2021
Kaseya-Vorfall: Womöglich Tausende Unternehmen ins Visier Cyber-Krimineller geraten / Auch deutsche Unternehmen von Ransomware betroffen, welche auf Schwachstellen in der Kaseya-Software abzielt