[datensicherheit.de, 05.07.2022] Eine Branche war in Aufregung: Über 1.000 betroffene Unternehmen, Lösegeldforderung im Bereich von 70 Millionen US-Dollar. „Der Cyber-Angriff der ,REvil‘-Gruppe, bei dem der IT-Dienstleister Kaseya als Vehikel missbraucht wurde, schlug vor genau einem Jahr – sowie in den Wochen danach – hohe Wellen und rückt den Begriff der Supply-Chain-Attacke ins öffentliche Bewusstsein“, kommentiert Andreas Riepen, „Head Central & Eastern Europe“ bei Vectra AI, im Rückblick.

Foto: Vectra AI

Andreas Riepen: Wichtig, sich daran zu erinnern, dass es viele Arten von Cyber-Attacken auf die Lieferkette gibt!

Kaseya als warnendes Beispiel

Riepen betont: „Ein Jahr nach den Meldungen rund um den Supply-Chain-Angriff auf Kaseya ist es wichtig, sich daran zu erinnern, dass es viele Arten von Cyber-Attacken auf die Lieferkette gibt:

• das Aushängeschild (SolarWinds),
• das enttäuschte Vertrauen (missbrauchte Administratorenrechte),
• der ,Mid Chain‘-Angriff (Kaseya).“

Kaseya-Vorfall war einzigartig – das Unternehmen selbst wurde nicht gehackt

„Was Kaseya einzigartig machte, war, dass das Unternehmen selbst nicht gehackt wurde“, so Riepen. Stattdessen seien Schwachstellen in der VSA-Software von Kaseya entdeckt worden, von der Kopien bei MSP (Managed Services Provider) gelaufen seien. Das Design der VSA-Software habe einen Mechanismus für jeden Server geboten, um einen Software-Agenten an ein verwaltetes System im Netzwerk des MSP-Kunden zu senden.

„Die VSA-Schwachstelle wurde ausgenutzt, ein benutzerdefinierter Ransomware-Agent wurde erstellt und automatisch auf allen verwalteten Systemen des MSP bereitgestellt“, berichtet Riepen. Dies sei die Verwendung von GPO (Group Policy Object) auf MSP-Ebene zur Verbreitung von Malware. Kein klassischer Supply-Chain-Angriff – „Kaseya wurde nicht gehackt und dazu verwendet, die Malware an die VSA-Server zu liefern – sondern eher ein Mid-Chain-Angriff“.

Kaseya lässt Vertrauen in MSP-Sicherheitspraktiken überdenken

„Lektion gelernt? Wenn Unternehmen die Verwaltung ihrer Systeme an einen Dienstleister auslagern, der Software in das Herz des Netzwerks des Unternehmens einschleusen kann, muss das betroffene Unternehmen sicherstellen, dass es diese Tatsache in das Risiko-Register aufnimmt“, führt Riepen aus.

Viel häufiger und fundierter sollten sich die IT-Verantwortlichen fragen, „wie viel Vertrauen sie in die Sicherheitspraktiken des MSP setzen, und wie es um die Software bestellt ist, die sie verwenden, um ihre Systeme zu verwalten“.

Weitere Informationen zum Thema:

datensicherheit.de, 10.07.2021
Kaseya: Cyber-Kriminelle missbrauchen Ransomware-Vorfall für Phishing-Attacken / Phishing-Mails können z.B. aktuell Betreffzeilen enthalten, welche zum Update von Kaseya VSA auffordern

datensicherheit.de, 09.07.2021
Kaseya als Fanal: Unternehmen sollten Security-Strategie auf moderne Angriffstechniken abstellen / Richard Werner erläutert am Beispiel des Kaseya-Vorfalls Besonderheiten eines Supply-Chain-Angriffs

datensicherheit.de, 07.07.2021
Supply-Chain-Angriff bei Kaseya: Warnung für Unternehmen vor Ransomware aus allen Richtungen / Inzwischen Zehntausende von Kaseya-Kundensystemen weltweit betroffen

[datensicherheit.de, 09.11.2021] Laut einer aktuellen Stellungnahme von Mandiant haben in einer international koordinierten Operation Ermittler mehrere Affiliate-Partner der Ransomware-as-a-Service „REvil“ festgenommen, Sanktionen verhängt und Lösegeld in Höhe von 6,1 Millionen US-Dollar beschlagnahmt. Auch deutsche Ermittler seien an der „GoldDust“ genannten Operation beteiligt gewesen. Unter den Festgenommenen sei der Ukrainer Yaroslav Vasinskyi, „der für den Angriff auf das Unternehmen Kaseya und dessen Kunden verantwortlich sein soll“.

Foto: Mandiant

Kimberly Goody: Cyber-Kriminalität kennt keine Landesgrenzen!

REvil sehr aktive Ransomware-Bedrohung

„Diese jüngsten Ereignisse zeigen, wie wichtig es ist, bei der Bekämpfung von Ransomware-Bedrohungen einen differenzierten Ansatz zu verfolgen und mit internationalen Partnern zusammenzuarbeiten“, kommentiert Kimberly Goody, „Director of Financial Crime Analysis“ bei Mandiant. Denn Cyber-Kriminalität kenne keine Landesgrenzen.
„REvil“ habe sich seit dem ersten Auftreten im Mai 2019 als sehr aktive Ransomware-Bedrohung erwiesen. Mehr als 300 Unternehmen seien auf der Ransomware-Shaming-Website der Gruppe aufgetaucht. Die Opfer verteilten sich über 40 Länder.

REvil agierte mit Ransomware-as-a-Service-Modell

Goody erläutert: „REvil agierte mit einem Ransomware-as-a-Service-Modell und mehrere der jüngsten Verhaftungen und Sanktionen zielten auf Affiliate-Partner ab. Dies ist insofern bemerkenswert, dass Hacker in anderen Fällen, in denen eine Ransomware abgeschaltet wurde oder Störungen auftraten, zu anderen Ransomware-Affiliate-Programmen wechselten.“
Maßnahmen, die auf diese Partner abzielten, könnten sich stärker auf die Gesamtzahl der Angriffe auswirken. Denn im Vergleich zur Ransomware selbst seien die erforderlichen Fähigkeiten, um Ransomware in den Umgebungen der Opfer zu verbreiten und erfolgreich einzusetzen, im Darknet sehr gefragt.

Jüngste Ermittlungserfolge im Revil-Fall werden nicht alle Ransomware-Hacker abschrecken

Die jüngsten Maßnahmen gegen „REvil“-nahe Akteure seien zwar bedeutsam, jedoch ändere dies nichts daran, dass einige Länder aus strategischen Gründen Ransomware-Tätigkeiten tolerierten und ungehindert gewähren ließen, solange sich diese nicht gegen eigene nationale Interessen richteten.
„Dies bedeutet, dass die jüngsten Ermittlungserfolge nicht alle Ransomware-Hacker abschrecken werden“, befürchtet Goody. Insbesondere angesichts der Tatsache, wie lukrativ diese Form der Kriminalität geworden sei. Die Erhöhung der Kosten durch Verhaftungen und Sanktionen sei deshalb wichtig, um die Kosten-Nutzen-Analyse der Ransomware-Hacker negativ zu beeinflussen.

Weitere Informationen zum Thema:

datensicherheit.de, 10.07.2021
Kaseya-Vorfall: Unternehmen reagierten schnell / Anteil der anfälligen Kaseya-Server nach „REvil“-Angriff vom 2. Juli 2021 um 96 Prozent gesunken

datensicherheit.de, 09.07.2021
Kaseya als Fanal: Unternehmen sollten Security-Strategie auf moderne Angriffstechniken abstellen / Richard Werner erläutert am Beispiel des Kaseya-Vorfalls Besonderheiten eines Supply-Chain-Angriffs

datensicherheit.de, 08.07.2021
Kaseya-Vorfall zeigt Notwendigkeit der Netzwerküberwachung auch in KMU / Angreifer missbrauchten offenbar Zero-Day-Schwachstelle in Unified-Management-Software VSA von Kaseya

[datensicherheit.de, 10.07.2021] „Nachdem die Aufräumarbeiten im Fall Kaseya andauern, nutzen Cyber-Kriminelle die Unsicherheit aus, um ihre Phishing-Aktivitäten darauf auszurichten das Probleme mit angeblichen Updates zu lösen“, warnt Jelle Wieringa, „Security Awareness Advocate“ bei KnowBe4, in einer ergänzenden Stellungnahme und erläutert: „Betreffzeilen, die zum Update von ,Kaseya VSA‘ auffordern und Links zu infizierten Webseiten mit bösartiger Malware enthalten, wurden bereits von einigen Security-Anbietern aufgefunden.“

Foto: KnowBe4

Jelle Wieringa: Phisher könnten Kaseya-Ankündigung ausnutzten, über Updates per E-Mail zu benachrichtigen

Security Awareness hilft, die wichtigsten Hinweise auf Phishing zu erkennen

Die Phisher nutzten aus, „dass das US-amerikanische IT-Unternehmen angekündigt hatte, über Updates per E-Mail zu benachrichtigen“. Die Verunsicherung führe zu manchem verirrtem Klick, so dass weitere Ransomware-Infektionen folgen dürften. Die Phishing-Kampagne dürfte weitergehen, „bis der Kaseya-Patch fertig und vollständig ausgerollt wurde“.
Bis dahin sollten Unternehmen besondere Vorsicht walten lassen und alle E-Mails im Zusammenhang mit dieser Thematik genau unter die Lupe nehmen. Hierzu helfe „Security Awareness“-Training, die wichtigsten Hinweise auf Phishing, beispielsweise beim Absender oder aber bei der Betreffzeile zu erkennen.

Ständig wird neuer Phishing-Betrug entwickelt

Schulungen im Bereich „Security Awareness“ könnten Mitarbeitern helfen, Phishing zu erkennen – „bevor sie darauf klicken“. Ständig werde neuer Phishing-Betrug entwickelt. Wieringa unterstreicht: „Je weniger Mitarbeiter darüber informiert sind, desto leichter fallen sie auf die Betreffzeilen herein.“
Deshalb sollten Trainings immer aktuelle Beispiele enthalten und anhand der „roten Flaggen“ aufzeigen, wie Phishing E-Mails von regulären E-Mails unterschieden werden könnten. Das Risiko auf eine solche E-Mail hereinzufallen, werde dadurch pro Mitarbeiter deutlich minimiert, wie nicht zuletzt der PPP, der „Phish Prone Percentage“ anzeige. Der PPP einer Phishing-Kampagne werde anhand der Anzahl der gesamten Fehlversuche (Klicks, Öffnen von Anhängen, Dateneingabe, Aktivieren von Makros für Anhänge, Antworten) geteilt durch die Gesamtzahl der in dieser Kampagne zugestellten E-Mails berechnet.

Trainings sollten echte – entschärfte – Phishing-Vorlagen verwenden

Wieringa erläutert: „Wenn beispielsweise 100 Personen E-Mails erhalten haben und 52 von ihnen auf einen Link in der E-Mail geklickt haben und acht dieser Benutzer auch Daten in die gefälschte ,Landing Page‘ eingegeben haben, würde der PPP für diese Kampagne 60 Prozent betragen.“
Trainings sollten außerdem echte Phishing-Vorlagen über eine Technologie wie „PhishRIP“ verwenden. Diese Plattform ermögliche es, echte Phishing-E-Mails zu nehmen und sie in eine Vorlage zu verwandeln. Dabei werde der gesamte gefährliche Inhalt entfernt und könne ohne negative Nebeneffekte verwendet werden. „Letztlich hat sich gezeigt, dass das ,Security Awareness‘-Training auf Basis von realen Beispielen effektiver ist, als wenn mit nachgebauten Vorlagen geschult wird“, berichtet Wieringa.

Weitere Informationen zum Thema:

datensicherheit.de, 08.07.2021
Social Engineering Scams: Warnung vor Zunahme und Tipps zur Abwehr / Bei drei Vierteln der erfolgreichen Social Engineering Scams verwenden Angreifer Informationen über das Opfer, um Glaubwürdigkeit vorzutäuschen

datensicherheit.de, 16.06.2021
Rückkehr aus dem Home-Office: Fax- und Scan-Phishing-Attacken nehmen zu / Untersuchung von Avanan zeigt auf, dass vermehrt Phishing-Versuche via Fax und Scan auftreten

datensicherheit.de, 15.03.2021
Phishing bleibt Hackers Liebling: Einem der ältesten Hacker-Tricks endlich einen Riegel vorschieben / Wenn Cyberkriminelle Zugang zu legitimen Anmeldedaten erhalten, kann dies für Unternehmen verheerende Folgen haben

[datensicherheit.de, 10.07.2021] „Die Zahl der verwundbaren, öffentlich zugänglichen Kaseya-Server ist über das lange Wochenende des 4. Juli stark gesunken“, meldet Palo Alto Networks. Unternehmen reagierten demnach „schnell auf die Empfehlung des IT-Softwareherstellers, ihre Systeme offline zu nehmen, um die Auswirkungen des Ransomware-Angriffs von ,REvil‘ zu minimieren“.

Vorsichtig optimistisch, dass Auswirkungen des Angriffs auf Kaseya verringert wurden

Die Anzahl der verwundbaren, für Angreifer über das Internet sichtbaren Kaseya-Server sei um 96 Prozent von etwa 1.500 am 2. Juli auf 60 am 8. Juli 2021 gesunken – dies hätten Internet-Scans mit der „Cortex Xpanse“-Plattform von Palo Alto Networks ergeben.
„Es ist zwar noch zu früh, um zu wissen, wie sich das Ganze entwickeln wird. Wir sind dennoch vorsichtig optimistisch, dass die Auswirkungen dieses Angriffs verringert wurden, weil Kaseya seinen Kunden schnell klare Ratschläge gegeben hat, wie sie diese Bedrohung abmildern können“, so Matt Kraning, „Chief Technology Officer, Cortex“, bei Palo Alto Networks.

Kaseya mahnt Unternehmen, über vollständiges und genaues Inventar ihrer IT-Ressourcen zu verfügen

Dies sei eine gute Erinnerung daran, dass alle Unternehmen über ein vollständiges und genaues Inventar ihrer IT-Ressourcen verfügen sollten, betont Kraning. Dadurch könnten sie schnell und umfassend beurteilen, „ob sie Angriffen wie diesen ausgesetzt sind, und alle potenziell gefährdeten Ressourcen aus ihrem Netzwerk entfernen und isolieren“.
Für weitere Informationen zu „REvil“ empfiehlt Palo Alto Networks mach eigenen Angaben, den Blog-Artikel „Understanding REvil: The Ransomware Gang Behind the Kaseya VSA Attack“ vom 6. Juli 2021 zu lesen. Dieser enthalte Beobachtungen, die „Incident Responder“ und „Threat Researcher“ von der „Unit 42“ bei Palo Alto Networks in den letzten drei Jahren gesammelt hätten, „als sie die Akteure hinter dieser Ransomware-Gruppe verfolgt haben“.

Weitere Informationen zum Thema:

paloalto NETWORKS, UNIT 42, John Martineau, 06.07.2021
Understanding REvil: The Ransomware Gang Behind the Kaseya VSA Attack

datensicherheit.de, 09.07.2021
Kaseya als Fanal: Unternehmen sollten Security-Strategie auf moderne Angriffstechniken abstellen / Richard Werner erläutert am Beispiel des Kaseya-Vorfalls Besonderheiten eines Supply-Chain-Angriffs

[datensicherheit.de, 09.07.2021] Innerhalb eines halben Jahres hat sich, nach der „Sunburst“-Attacke auf Solarwinds, jetzt mit dem Angriff auf Kaseya offensichtlich bereits der zweite aufsehenerregende Supply-Chain-Schadensfall ereignet. Die Tatsache, dass dieser Angriff am Wochenende des 4. Juli (einem der wichtigsten Feiertage der USA) stattfand, spricht für ein sorgfältiges Kalkül der Täter. Ausgehend von der Anzahl parallel betroffener Unternehmen, ist diese Cyber-Attacke sicherlich eine der größten in der bisherigen Geschichte der IT-Security. „In der noch relativ seltenen, aber immer häufiger auftretenden Kategorie des ‚Supply-Chain-Angriffs‘ infiziert der Täter zunächst IT-Dienstleister. Diese sind deshalb so interessant, weil sie zu anderen Unternehmen stehende oder aktivierbare IT-Verbindungen unterhalten“, erläutert Richard Werner, „Business Consultant“ bei Trend Micro, in seinem Kommentar zur Kaseya-Krise. Der Täter könne sich dann quasi unerkannt im System bewegen und das Opfer extrem schnell ausschalten. Supply-Chain-Angriffe seien im Verhältnis selten, „weil sie für einen Angreifer kompliziert und mit hohem Aufwand verbunden sind“ – ihre Wirkung sei allerdings oft fatal.

Foto: Trend Micro

Richard Werner: Supply-Chain-Angriffe noch im Verhältnis selten, weil kompliziert und aufwändig – allerdings oft mit fataler Wirkung

Weltweit wohl etwa 1.500 Unternehmen vom Kaseya-Vorfall betroffen

Werner rekapituliert den Vorfall: „Am Wochenende des 4. Juli, dem Nationalfeiertag der USA, traf eine Cyber-Attacke den Service-Provider Kaseya und breitete sich rasch auf dessen Kunden und weitere Unternehmen aus. Laut der News-Plattform ,Bleepingcomputer‘ waren etwa 50 direkte Kunden des Anbieters betroffen, die als Service-Provider wiederum ihre Kunden infizierten.“
Weltweit, so die News-Agentur, seien wohl etwa 1.500 Unternehmen betroffen. Trend Micro könne zudem bestätigen, dass es auch in Deutschland Vorfälle gegeben habe. Werner führt aus: „Die Tatsache, dass der Angriff an einem der wichtigsten Feiertage der USA stattfand, ist kein Zufall, sondern sorgfältiges Kalkül der Täter – das aufging. Nicht nur, dass IT-Security-Teams an Wochenenden und Feiertagen grundsätzlich unterbesetzt sind, auch die Kommunikationsketten zu den betroffenen Kunden waren unterbrochen, so dass sich der Angriff vielfach ungehindert ausbreiten konnte.“

Auch Angriff auf Kaseya begann mit einer Sicherheitslücke

Gehe man von der Anzahl parallel betroffener Unternehmen aus, so sei diese Cyber-Attacke sicherlich eine der größten in der Geschichte der IT-Security. „Zerlegt man sie in ihre Einzelteile, so drängen sich allerdings viele Parallelen zu anderen Angriffen auf. Aus dem groben, sich wiederholenden Schema können Unternehmen für ihre Infrastruktur einige wissenswerte Lehren ziehen“, erläutert Werner:
Auffällig beim Kaseya-Fall sei, „dass eine Sicherheitslücke in der Software verwendet wurde, die zum Zeitpunkt der Tat dem Hersteller bekannt war und deren Schließung sich bereits in der Beta-Phase befand“. Den Angreifern sei demnach nicht mehr viel Zeit verblieben, um erfolgreich zu sein. Der Service-Provider sei über „responsible disclosure“ auf das Vorhandensein der Schwachstelle aufmerksam gemacht worden und habe an der Schließung gearbeitet. Ungewöhnlich sei der zeitliche Zusammenhang dennoch und lasse Raum für Interpretationen. „Zwar ist die Patch-Problematik in der IT-Security weit bekannt, jedoch sollten Unternehmen im Hinterkopf behalten, dass Angreifer nicht nur bei Microsoft oder anderen weit verbreiteten Software-Varianten nach Schwachstellen suchen, sondern auch in der Software von IT-Dienstleistern.“ Dabei stünden insbesondere in direkter Kommunikation mit mehreren Kundengeräten stehende Applikationen im Fokus. Werner rät: „Betreibt man eigene Softwareentwicklung, muss dieser Umstand ebenfalls Teil der Risikokalkulation sein.“

Besonderheiten eines Supply-Chain-Angriffs wie z.B. auf Kaseya

Der gesamte Vorfall lasse sich in die Kategorie „Supply-Chain-Angriff“ einordnen. In dieser noch relativ seltenen, aber immer häufiger auftretenden Kategorie infiziere der Täter zunächst IT-Dienstleister. „Diese sind deshalb so interessant, weil sie zu anderen Unternehmen stehende oder aktivierbare IT-Verbindungen unterhalten. Betroffen sind beispielsweise Update-Mechanismen, die direkt Aktualisierungen in fremden Systemen durchführen, aber auch Fernwartungssysteme, Auftragsverarbeitungen und Ähnliches.“ Dies habe zur Folge, dass die Täter in der Lage seien, eine Maschine, in der Regel einen Server, im Rechenzentrum des Opfers zu übernehmen. Im Gegensatz zu „klassischen“ Angriffen würden dabei die gesamte Netzwerksicherheit sowie client-basierte Sicherheitslösungen umgangen. „Übrig bleibt, was auf den Serversystemen aktiviert ist und die Kommunikationen zwischen Serversystemen überwacht.“
Gerade in On-Premises-Rechenzentren sei das sehr häufig veraltete Antivirus-Technologie. Zudem fehlten oft wichtige Sicherheitspatches – „für den Fall, dass es sich überhaupt um supportete Betriebssysteme handelt“. Dieser Umstand sorge dafür, dass der Täter das finale Opfer oft extrem schnell ausschalten und sich quasi unerkannt in Systemen bewegen könne. Je größer der initiale Schaden, desto besser für den Angreifer, da dadurch enormer Druck aufgebaut werden könne. Das spezielle Angebot von Kaseya habe den Kriminellen die Möglichkeit geboten, nicht nur direkt Unternehmen, sondern auch deren Kunden zu erreichen. Dies erkläre die im Verhältnis große Zahl der Opfer. Supply-Chain-Angriffe seien indes im Verhältnis selten, „weil sie für einen Angreifer kompliziert und mit hohem Aufwand verbunden sind“. Ihre Wirkung sei allerdings oft fatal, warnt Werner.

Unternehmen sollten ihre Lehren aus Kaseya-Attacke ziehen

Wichtig sei zu verstehen, dass es sich hier nicht um eine vorübergehende Welle handele. In der sich aktuell stark verändernden IT-Sicherheitslandschaft seien in vielen Fällen äußere Faktoren für die aktuelle Situation verantwortlich. Zu diesen zählten der Stellenwert der IT in Unternehmen, der allgemeine Umgang mit IT durch Mitarbeiter sowie das Aufkommen von „Bitcoin“. Während die ersten beiden dazu beitrügen, dass die IT und damit vor allem die IT-Security in Unternehmen immer komplexer und damit unübersichtlicher würden, habe das Entstehen von sogenannten Kryptowährungen tatsächlich den Cyber-Untergrund revolutioniert.
Dies erlaube den Protagonisten im Untergrund eine zunehmende Spezialisierung und den uneingeschränkten Handel untereinander. Werner stellt klar: „Alle drei Faktoren lassen sich nicht mehr umkehren.“ Die angesprochene Komplexität werde damit zunehmend zur Belastung der Verteidiger – was sowohl im übertragenem als auch im rein zwischenmenschlichen Miteinander für Probleme sorge. „Unternehmen müssen deshalb Ihre aktuelle Security-Strategie auf moderne Angriffstechniken prüfen. Das Beispiel von Kaseya kann dabei helfen“, unterstreicht Werner abschließend.

Weitere Informationen zum Thema:

blog.trendmicro.de
Supply Chain-Angriffe im Cloud Computing vermeiden

datensicherheit.de, 08.07.2021
Kaseya-Vorfall zeigt Notwendigkeit der Netzwerküberwachung auch in KMU / Angreifer missbrauchten offenbar Zero-Day-Schwachstelle in Unified-Management-Software VSA von Kaseya

TREND MICRO, 04.07.2021
IT Management Platform Kaseya Hit With Sodinokibi/REvil Ransomware Attack

[datensicherheit.de, 08.07.2021] „Bei der größten bisher beobachteten Ransomware-Attacke haben die Angreifer eine Zero-Day-Schwachstelle in der ,Unified Management‘-Software ,VSA‘ von Kaseya für einen schwerwiegenden Einbruch in zahlreiche Systeme genutzt. Zu den Zielscheiben gehörten ,Managed Service Provider‘ und deren kleine und mittlere Kundenorganisationen“, erläutert Thomas Krause, „Regional Director DACH-NL“ bei ForeNova, in seiner aktuellen Stellungnahme zum Kaseya-Vorfall. Der Angriff habe sich offenbar vor allem auf On-Premise-Server gerichtet, von denen sich viele KMUs Sicherheit versprächen: „Hacker nutzten laut Huntress Labs bisher unbekannte Arbirtary-File-Upload- und SQLi-Code-Injection-Schwachstellen aus, umgingen dann Authentifikationsverfahren und erlangten Zugriff auf die Server, um später ihre Verschlüsselungssoftware scharf zu schalten.“

Foto: ForeNova Technologies

Thomas Krause: KMU gehen oft noch davon aus, keine Zielscheibe für Hacker zu sein…

Mit Kaseya ein an sich legitimes Sprungbrett missbraucht, um verschiedenste Opfer zu treffen

Wie schon beim Solarwinds-Angriff hätten die Angreifer mit Kaseya ein an sich legitimes Sprungbrett ausgenutzt, um verschiedenste Opfer zu treffen. Große Unternehmen mit eigenen IT-Sicherheitsteams und Werkzeugen dürften in vielen Fällen noch die Mittel gehabt haben, proaktiv nach den sich daraus ergebenden, im Unternehmensnetz schlummernden Gefahren Ausschau zu halten und den Schaden einzudämmen.
Viele kleinere und mittlere Unternehmen (KMU) dagegen gingen oft noch davon aus, keine Zielscheibe für die Hacker zu sein. Krause: „Sie schützen sich daher nur mit Endpoint-Security-Lösungen und Firewalls, die gegen solche ausgefeilte Angriffswege weitgehend wirkungslos bleiben.“

KMU sollten Kaseya-Hack als Weckruf begreifen!

Die KMU könnten den Kaseya-Hack als Weckruf begreifen, dass sie auch ins Netzwerk schauen müssten, um sicher zu bleiben. „Es ist auch für kleine Unternehmen notwendig, sowohl den ein- und ausgehenden Datenverkehr (North-South-Traffic) als auch den gesamten internen Datenverkehr (East-West-Traffic) im Auge zu behalten“, unterstreicht Krause und führt aus:
„Das klingt schwerer als es ist. Geeignete Lösungen entdecken und überwachen alle Netzwerkressourcen automatisiert, entdecken abweichende Verhaltensmuster und decken so scheinbar harmloses Verhalten auf, um Zero-Day-Angriffe zu identifizieren und zu blocken.“

Abbildung: ForeNova Technologies

Network Detection and Response (NDR) (wie z.B. die „NovaCommand“-Lösung) bietet 360-Grad-Blick über alle IT-Ressourcen hinweg und kann auffälliges Verhalten im ganzen Netz erkennen

Weitere Informationen zum Thema:

HUNTRESS, John Hammond, 03.07.2021
Rapid Response: Mass MSP Ransomware Incident

datensicherheit.de, 07.07.2021
Supply-Chain-Angriff bei Kaseya: Warnung für Unternehmen vor Ransomware aus allen Richtungen / Inzwischen Zehntausende von Kaseya-Kundensystemen weltweit betroffen

datensicherheit.de, 06.07.2021
Kaseya-Ransomware-Angriffe – Sicherheitsteams rund um den Globus machen Überstunden / REvil soll derzeit eine der produktivsten Ransomware-Gruppen sein

datensicherheit.de, 06.07.2021
Kaseya-Vorfall: Womöglich Tausende Unternehmen ins Visier Cyber-Krimineller geraten / Auch deutsche Unternehmen von Ransomware betroffen, welche auf Schwachstellen in der Kaseya-Software abzielt

[datensicherheit.de, 07.07.2021] Mit dem Kaseya-Vorfall kam es offensichtlich erneut zu einem Supply-Chain-Angriff, an dem ein weiteres IT-Dienstleistungsunternehmen beteiligt war. „Angreifer verschafften sich Zugang zu den IT-Systemen, um Code zu ändern, der als einfaches Update an Kunden und deren Kunden verschickt wurde und inzwischen Zehntausende von Kundensystemen weltweit betrifft.“ Bösartiger Code sei angesichts der bestehenden Prozesse als vertrauenswürdig deklariert worden und habe sich lateral in den Netzwerken verbreitet, um IT-Systeme quasi als Geiseln zu nehmen. Ryan Chapman, „Instructor & Author“ am SANS Institute, geht in seiner Stellungnahme zu diesem Vorfall auf den „Faktor Mensch“ ein.

Foto: SANS Institute

Ryan Chapman: Das neue Normal in der Welt der Cyber-Sicherheit – IT-Dienstleister angreifen, um Kettenreaktion auszulösen

Kaseya-Vorfall erinnert an SolarWinds Sunburst und den Windows Exchange-Angriffen der HAFNIUM-Gruppe

Die ersten Opfer in Europa seien ein schwedischer Supermarkt, ein Bahnunternehmen und eine Apothekenkette. Es werde erwartet, dass die Kettenreaktion Organisationen in mindestens 17 Ländern treffe, darunter auch Deutschland, „wo drei IT-Dienstleistungsunternehmen und deren Kunden, vor allem Kleinstunternehmen, ebenfalls betroffen sind“.
Insgesamt handele es sich wohl um mehr als 1.000 infizierte Computer. Der Fall ähnele dem von „SolarWinds Sunburst“ und den „Windows-Exchange“-Angriffen der „HAFNIUM“-Gruppe. Leider scheine es das „neue Normal in der Welt der Cyber-Sicherheit“ zu sein, IT-Dienstleister anzugreifen, um eine Kettenreaktion ähnlich fallender Dominosteine auszulösen.

Auch beim Kaseya-Vorfall: Wichtigster Aspekt für Cyber-Sicherheit eines Unternehmens sind Menschen

Für Chapman sind nach eigenen Angaben die Menschen der wichtigste Faktor, wenn es darum geht, Ransomware zu bekämpfen. Menschen seien von zentraler Bedeutung, denn man könne keine Prozesse oder Technologien ins Spiel bringen, geschweige denn richtig verwalten, „wenn man keine Menschen zur Verfügung hat“.
Zu oft habe es Incident-Response-Fälle gegeben, bei denen der ursprüngliche Infektionsvektor durch eine nicht befolgte Richtlinie oder durch eine technologische Lösung ausgelöst worden sei, „die nicht richtig implementiert oder konfiguriert war“. Chapman betont: „Der wichtigste Aspekt für die Cyber-Sicherheit eines Unternehmens sind daher die Menschen. Und zwar gut ausgebildete Mitarbeiter, die unnötige Fehler vermeiden.“

Technische Implementierung einer Endpoint Detection Response allein unzureichend zur Bewältigung des Kaseya-Vorfalls

„Eine technische Implementierung wie eine starke ,Endpoint Detection Response‘-Lösung nützt einem Unternehmen möglicherweise nichts, wenn keine Alarme generiert werden oder wenn niemand diese Alarme im Blick hat. Managemententscheidungsprozesse wie eine Sicherheitsüberprüfung in die Entscheidungen des Änderungskontrollgremiums einzubeziehen, nützen nichts, wenn die ,Mitarbeiter‘, die diese Änderungen überprüfen, nicht aufpassen.“
Chapman ergänzt abschließend, dass es auch nichts nutze, wenn sie nicht wüssten, worauf sie achten müssten. „Wir als ,Security Community‘ haben uns für Technologien und Prozessen eingesetzt, aber wir vergessen oft den allzu wichtigen menschlichen Aspekt bei diesen Maßnahmen“, warnt er.

Weitere Informationen zum Thema:

datensicherheit.de, 06.07.2021
Kaseya-Ransomware-Angriffe – Sicherheitsteams rund um den Globus machen Überstunden / REvil soll derzeit eine der produktivsten Ransomware-Gruppen sein

datensicherheit.de, 06.07.2021
Kaseya-Vorfall: Womöglich Tausende Unternehmen ins Visier Cyber-Krimineller geraten / Auch deutsche Unternehmen von Ransomware betroffen, welche auf Schwachstellen in der Kaseya-Software abzielt

SANS Institute
Cyber Security Training

[datensicherheit.de, 06.07.2021] Sicherheitsteams rund um den Globus machten seit dem 2. Juli 2021 Überstunden, als die Nachricht aufgetaucht sei, dass „REvil“ Ransomware-Angriffe auf den IT-Management-Softwarehersteller Kaseya VSA und seine Kunden gestartet habe – mittlerweile seien auch Betroffene in Zentraleuropa benannt worden. Wendi Whitmore, „Senior Vice President of Cyber Consulting and Threat Intelligence“ bei der „Unit 42“ von Palo Alto Networks, fasst in ihrer aktuellen Stellungnahme die gegenwärtigen Erkenntnisse zusammen. Sie berichtet: „Bislang hat ,Unit 42‘ von Palo Alto Networks in diesem Jahr auf mehr als ein Dutzend Fälle reagiert, in denen ,REvil‘ (auch bekannt als ,Sodinokibi‘) involviert war, was es zu einer der produktivsten Ransomware-Gruppen macht, die bekannt sind.“

Foto: Palo Alto Networks

Wendi Whitmore: Die Unit 42 von Palo Alto Networks hat 2021 bereits auf mehr als ein Dutzend solcher Ransomware-Fälle reagiert

Revil: Durchschnittliche Zahlung bei Ransomware-Vorfällen etwa 2,25 Millionen US-Dollar

Im Folgenden gibt Whitmore einige Erkenntnisse wieder, welche von den Ermittlern und Bedrohungsforschern der „Unit 42“ von Palo Alto Networks gesammelt worden seien:

• „Die durchschnittliche Zahlung, die ,Unit 42‘ in diesem Jahr bei ,REvil‘-Vorfällen beobachtet hat, betrug etwa 2,25 Millionen US-Dollar.“ Die größte bekannte Lösegeldforderung habe elf Millionen US-Dollar nach einem vielbeachteten Angriff auf das weltgrößte Fleischverpackungsunternehmen, welcher die Verarbeitungsanlagen lahmgelegt habe, betragen.
• Diese Gruppe fordere hohe Lösegelder, sei aber offen für Verhandlungen über niedrigere Zahlungen. „Nach dem Angriff auf Kaseya VSA am Freitag forderte sie 70 Millionen Dollar für ein Tool zur Entschlüsselung aller betroffenen Dateien. Am Montag reduzierte sie diese Forderung auf 50 Millionen Dollar.“ Wenn die Opfer jedoch nicht verhandeln oder zahlen, veröffentliche „REvil“ gestohlene Daten auf seiner „Happy Blog“ genannten Leak-Site.
• „Die Auswirkungen des Kaseya VSA-Angriffs, der einige Unternehmen unvorbereitet traf, weil er am Freitag um 16.00 Uhr ET gestartet wurde, also vor dem dreitägigen Feiertagswochenende in den USA, sind noch nicht bekannt.“ „REvil“ behaupte, über eine Million Systeme verschlüsselt zu haben.

REvil heute einer der bekanntesten Anbieter von Ransomware-as-a-Service

Während viele Menschen erst kürzlich von der Existenz von „REvil“ erfahren hätten, beobachteten die „Unit 42“-Bedrohungsforscher von Palo Alto Networks die mit dieser Gruppe verbundenen Akteure bereits seit drei Jahren. „Die Forscher stießen erstmals 2018 auf sie, als mit einer Gruppe namens ,GandCrab‘ beschäftigt waren, die nicht an Ransomware beteiligt war. Diese konzentrierte sich hauptsächlich auf Malvertising und Exploit-Kits, d.h. bösartige Werbung und Malware-Tools, die Hacker verwenden, um Opfer unwissentlich durch Drive-by-Downloads zu infizieren, wenn sie eine bösartige Website besuchen.“
Diese Gruppe habe sich später in „REvil“ umgewamdelt, sei gewachsen und habe sich den Ruf erworben, große Datenmengen zu stehlen und Lösegelder in Millionenhöhe zu fordern. „Heute ist sie einer der bekanntesten Anbieter von Ransomware-as-a-Service (RaaS).“ „REvil“ biete Kunden (sogenannten Affiliates) anpassbare Tools zur Ver- und Entschlüsselung, Angriffsinfrastruktur und Dienste für die Verhandlungskommunikation. Für diese Dienste kassiert „REvil“ einen Prozentsatz der Lösegeldzahlungen.

Ransomware-Betreiber Revil verfolgt zwei Ansätze, um Opfer zur Zahlung zu bewegen

„Wie die meisten Ransomware-Betreiber verwendet ,REvil‘ zwei Ansätze, um die Opfer zur Zahlung zu bewegen“, erläutert Whitmore:

1. Die Gruppe verschlüssele Daten, so dass Unternehmen nicht mehr auf Informationen zugreifen, kritische Computersysteme nicht mehr verwenden oder von Backups wiederherstellen könnten.
2. 2. Sie stehle auch Daten und drohe damit, sie auf ihrer Leak-Site zu veröffentlichen (eine Taktik, welche als sogenannte Doppelte Erpressung bekannt sei).

Die „Unit 42“ von Palo Alto Networks 42 verfolge diesen Angriff genau. Deren Forscher hätten einen Bedrohungsbericht in ihrem Blog veröffentlicht und würden in den kommenden Tagen weitere Informationen bereitstellen.

Weitere Informationen zum Thema:

paloalto NETWORKS, UNIT 42, 03.07.2021
Threat Brief: Kaseya VSA Ransomware Attacks

datensicherheit.de, 06.07.2021
Kaseya-Vorfall: Womöglich Tausende Unternehmen ins Visier Cyber-Krimineller geraten / Auch deutsche Unternehmen von Ransomware betroffen, welche auf Schwachstellen in der Kaseya-Software abzielt

datensicherheit.de, 05.07.2021
Bitkom-Stellungnahme zum Ransomware-Angriff via Kaseya / Auf einen Schlag Hunderte Unternehmen mit Ransomware ins Visier genommen

datensicherheit.de, 05.07.2021
Ransomware-Angriff: Folgen weltweit zu spüren / Zahlreiche IT-Dienstleister, deren Kunden und weitere Unternehmen Opfer von Ransomware geworden

[datensicherheit.de, 06.07.2021] „Nach Solarwinds ist mit Kaseya binnen weniger Monate der zweite große Anbieter von Lösungen für ,Remote Management and Monitoring‘ (RMM) zum Opfer von Hackern geworden – bereits vor zwei Jahre hatte es das deutsche Vorzeige-Start-up Teamviewer erwischt“, so Ulrich Mertz, Gründer und Geschäftsführer von Rangee, in seiner Stellungnahme zum aktuellen Ransomware-Vorfall. Erneut seien damit auf einen Schlag Hunderte oder sogar Tausende Unternehmen ins Visier Cyber-Krimineller geraten, „weil ihre ,remote‘ gemanagten Systeme plötzlich für Eindringlinge offenstehen“. Die Folgen seien kaum absehbar, denn die ersten Firmen – darunter die Supermarktkette Coop in Schweden – seien bereits gezielt attackiert worden. Dem BSI zufolge seien zunehmend auch deutsche Unternehmen von Ransomware betroffen, welche auf die Schwachstellen in der Kaseya-Software abziele.

Foto: Rangee

Ulrich Mertz: Wo kein Cloud-Zugang ist, lässt sich auch nichts hacken!

Kaseya-Vorfall als Warnung: Bequemlichkeit schafft Bypässe um Sicherheitslösungen

Mertz erläutert: „Ursache solcher und ähnlicher Angriffe ist, dass Unternehmen häufig sehr viel Wert darauf legen, dass sich ihre Systeme über die ,Cloud‘ verwalten lassen. Das mag bequem sein, ist aber auch ein Sicherheitsrisiko.“ Fast jeder Hersteller biete inzwischen für seine Systeme eigene Schnittstellen und eigene Protokolle für ein Remote-Management über die „Cloud“. „So entstehen viele ,Bypässe‘, die die Sicherheitslösungen des Unternehmens umgehen“, warnt Mertz.

Überall-verfügbar-Technik wie von Kaseya zieht schnell unerwünschte Besucher an

Die jahrelang zuverlässig funktionierende, sicher hinter der Firewall agierende Offline-Lösung sei zuletzt leider aus der Mode gekommen. Mertz kritisiert: „Heute muss IT auch vom Strand aus erreichbar und verwaltbar sein.“ Doch diese „Überall-verfügbar-Technik“ sei ein attraktives Ziel für Cyber-Kriminelle und ziehe schnell unerwünschte Besucher an. Unternehmen seien daher gut beraten, bei jedem – weltweit bereitgestellten – Management-Dienst genau zu überlegen, „ob er tatsächlich einen Mehrwert liefert – oder ob die Offline-Lösung mit denselben Funktionen nicht vielleicht doch wertvoller ist, weil sie passive Sicherheit bietet“.

Kaseya-Vorfall sollte zum Nachdenken über eigene IT-Strategie anregen

Bei Rangee hätten sie sich daher „explizit gegen ein Gateway in die ,Cloud‘ entschieden“. Administratoren könnten über ihren Remote-Desktop auf den „Thin Client Management“-Server (TCMS) hinter der Firewall zugreifen, um ihre „Linux“- und „Windows“-basierten Endgeräte zu verwalten. Dort ließen sich alle Einstellungen und Updates auf Sicherheit kontrollieren und gesteuert vornehmen – ganz ohne „Cloud“.

Weitere Informationen zum Thema:

datensicherheit.de, 06.07.2021
Kaseya-Ransomware-Angriffe – Sicherheitsteams rund um den Globus machen Überstunden / REvil soll derzeit eine der produktivsten Ransomware-Gruppen sein

datensicherheit.de, 05.07.2021
Bitkom-Stellungnahme zum Ransomware-Angriff via Kaseya / Auf einen Schlag Hunderte Unternehmen mit Ransomware ins Visier genommen

datensicherheit.de, 05.07.2021
Ransomware-Angriff: Folgen weltweit zu spüren / Zahlreiche IT-Dienstleister, deren Kunden und weitere Unternehmen Opfer von Ransomware geworden

Rangee GmbH
Homepage

[datensicherheit.de, 05.07.2021] Bei der jüngsten Attacke mit Erpressungssoftware haben Hacker offensichtlich auf einen Schlag Hunderte Unternehmen mit Ransomware ins Visier genommen. Laut einer Meldung des Branchenverbands Bitkom nutzten sie eine Schwachstelle beim IT-Dienstleister Kaseya aus – auch deutsche Unternehmen seien betroffen.

Bei Dienstleister eingesetzte Software infiltriert, um Ransomware-Angriff beliebig zu skalieren

„Mit der jüngsten Attacke auf das IT-Unternehmen Kaseya wird eine besonders perfide Masche genutzt, um Unternehmen in aller Breite zu attackieren. Viele Unternehmen lassen sich von externen IT-Dienstleistern unterstützen. Wird aber die beim Dienstleister eingesetzte Software infiltriert, kann der Angriff quasi beliebig skaliert werden“, erläutert Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder.
Die Cyber-Kriminellen machten sich die Hebelwirkung über den IT-Dienstleister zu Nutze, indem sie die Zielsysteme der Endkunden verschlüsselten und „horrende Lösegelder“ erpressten. Rohleder: „Wird ein solcher Angriff erfolgreich geführt, fallen die Kundinnen und Kunden reihenweise um.“

Aktueller Ransomware-Angriff auf Software-Lieferkette nur Spitze eines Eisbergs

Dabei stellt dieser Angriff auf die Software-Lieferkette nur die „Spitze eines Eisbergs“ in einer Reihe von Attacken dar, welche seit Monaten für steigende Aufmerksamkeit sorgten. „Nach einem ähnlichen Muster erfolgte bereits der ,SolarWinds‘-Angriff, der Ende vergangenen Jahres bekannt wurde und bei dem ebenfalls die Software-Lieferkette als Einfallstor diente.“ Ziel dabei seien vor allem staatliche Institutionen und Großunternehmen gewesen.
Mit der Kaseya-Attacke treffe es nun eine andere Zielgruppe – mit nicht weniger schwerwiegenden Konsequenzen für die Gesellschaft insgesamt. Hacking habe sich zu einer maßgeblichen Bedrohung für den Schutz der Bevölkerung und deren Versorgungssicherheit entwickelt. „Das haben auch die Angriffe auf eine zentrale US-Ölpipeline, das irische Gesundheitssysteme sowie den weltgrößten Fleischproduzent eindrücklich unter Beweis gestellt“, so Dr. Rohleder.

Ransomware- und andere Attacken erzeugten 2019 über 100 Milliarden Euro Schaden

Durch Sabotage, Datendiebstahl oder Spionage sei der deutschen Wirtschaft bereits 2019 ein Gesamtschaden von über 100 Milliarden Euro entstanden.
Dr. Rohleder abschließend: „Viele Unternehmen sind durch die ,Pandemie‘ und den ungeplanten Umzug ins Home-Office anfälliger für Internet-Kriminalität geworden. Wir gehen davon aus, dass die Schadenssummen und die Zahl betroffener Unternehmen 2020 deutlich über dem Niveau des Vorjahres liegen.“

Weitere Informationen zum Thema:

datensicherheit.de, 05.07.2021
Ransomware-Angriff: Folgen weltweit zu spüren / Zahlreiche IT-Dienstleister, deren Kunden und weitere Unternehmen Opfer von Ransomware geworden

datensicherheit.de, 22.01.2021
Lessons learned – Lehren aus dem Solarwinds-Hack / Ein Kommentar von Christoph Volkmer, VP DACH bei Tanium

datensicherheit.de, 21.12.2020
Sicherheitsverletzung bei SolarWinds zeigt Notwendigkeit eines sicheren Passworts auf / Ian Pitt empfiehlt Unternehmen jeder Größe Einführung einer unternehmensweiten Passwort-Managementlösung

datensicherheit.de, 28.04.2020
Studie „SolarWinds IT Trends Report 2020: The Universal Language of IT“ vorgestellt / Report zeigt den steigenden Bedarf an qualifizierten deutschen Technikexperten für hybride IT-Umgebungen