Analyse des Angriffs auf Kaseya

Digitales Freibeutertum

8. Juli 2021, 12:34 Uhr |
© Wolfgang Traub

Im Zeitalter des Kolonialismus konnten Freibeuter wie Sir Francis Drake vom britischen Königshaus unbehelligt ihr Unwesen treiben, solange sie ihre Piraterie auf spanische und portugiesische Schiffe beschränkten und die heimischen unangetastet ließen. Ähnlich gehen heute russische Cybercrime-Organisationen wie REvil vor: Sie attackieren westliche, bevorzugt US-amerikanische Unternehmen und Organisationen mit Ransomware, halten sich aber wohlweislich von Russland und dessen Geschwisterstaaten fern. Zum jüngsten prominenten REvil-Angriff nahm nun der betroffene US-amerikanische IT-Anbieter Kaseya Stellung, während Palo Alto Networks eine ausführliche Analyse des Angriffs präsentierte.

Am Freitagnachmittag des 2. Juli, also kurz vor dem Wochenende, auf das dieses Jahr der US-National Feiertag am 4. Juli fiel, waren die Systeme von Kaseya, einem Anbieter von Fernwartungssoftware mit Sitz in Miami, Florida, Ziel eines Zero-Day-basierten Ransomware-Angriffs (LANline berichtete). Da Kaseya seine Software namens VSA vorrangig an MSPs (Managed Services Provider) liefert, die wiederum zahlreiche kleinere und mittelgroße Unternehmen betreuen, war das Schadenspotenzial enorm.

Doch da Kaseya laut eigenen Angaben innerhalb einer Stunde nach der Warnmeldung vorsichtshalber den Zugriff auf die betroffene Software abschaltete, ließ sich der Auswirkungsradius eindämmen: Laut Bekunden des Anbieters waren nur rund 50 von mehr als 35.000 Kunden betroffen – damit aber nach Schätzung von Experten wie auch von Kaseya selbst bis zu 1.500 MSP-betreute Anwenderunternehmen, darunter auch diverse Unternehmen in Deutschland.

Nun nahm das Softwarehaus in einem offiziellen Statement zu dem Angriff Stellung: „Unsere globalen Teams arbeiten rund um die Uhr, um den Betrieb unserer Kunden wieder sicherzustellen“, so Kaseya-Chef Fred Voccola. „Wir verstehen, dass jede Sekunde, in der sie arbeitsunfähig sind, ihre Existenzgrundlage beeinträchtigt, deshalb arbeiten wir mit Hochdruck daran, dieses Problem zu beheben.“
 
Reaktion auf den Vorfall

Nach dem Abschalten der VSA-Server habe man sofort ein internes Incident-Response-Team aufgestellt, um die Art des Angriffs zu ermitteln, und die zuständigen Behörden informiert. Das sind in den USA die Bundespolizei FBI als Strafverfolgungsbehörde und die CISA (Cybersecurity and Infrastructure Security Agency). Kaseya arbeite nun aktiv mit verschiedenen Behörden zusammen, neben dem FBI und der CISA auch mit dem Department of Homeland Security und dem Weißen Haus – ein Hinweis darauf, für wie brisant man in den USA den Angriff der offenbar russischen Freibeuter hält. Zudem hat das Softwarehaus die Fachleute von FireEyes Incident-Response-Team Mandiant hinzugezogen, um den Sicherheitsvorfall aufzuarbeiten.
 
Der Anbieter betonte in seinem Statement, man habe durch das schnelle Eingreifen den Schaden auf einen kleinen Teil der Anwenderschaft eindämmen können: „Viele der Kaseya-Kunden sind Managed Service Provider. Sie setzen die Technologie von Kaseya ein, um die IT-Infrastruktur für lokale und kleine Unternehmen mit weniger als 30 Mitarbeitern zu verwalten, wie zum Beispiel Zahnarztpraxen, kleine Buchhaltungsbüros und lokale Restaurants. Von den etwa 800.000 bis 1.000.000 lokalen und kleinen Unternehmen waren nur etwa 800 bis 1.500 betroffen.“

Der israelische Security-Anbieter Check Point betont, dass die Kriminellen längst nicht nur auf die USA zielen: In den vergangenen zwei Monaten habe das hauseigene Forscherteam 15 neue REvil-Angriffe pro Woche verzeichnet, die meisten davon in den USA, Deutschland, Brasilien und Indien.

„Im Jahr 2021 wurden bereits Rekorde für Cyberangriffe gebrochen,“ sagt Expertin Christine Schönig von Check Points deutscher Organisation: „Der Anstieg von Ransomware-Angriffen liegt bei einem Allzeithoch von 93 Prozent weltweit, der aller Attacken in der EMEA-Region bei 97 Prozent, und das nur in den letzten zwölf Monaten. Noch nie gab es so viele Opfer von Ransomware-Angriffen, von denen ein unbekanntes Ausmaß nicht nur allein die USA betrifft, sondern vermehrt sind es auch europäische Unternehmen, die hier ins Visier geraten sind.“

Anbieter zum Thema

zu Matchmaker+

  1. Digitales Freibeutertum
  2. Der Angriff auf Kaseya im Detail

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Kaseya International Deutschland GmbH

Weitere Artikel zu Palo Alto Networks GmbH

Weitere Artikel zu Cybercrime

Weitere Artikel zu Security-Management

Weitere Artikel zu Security-Services

Weitere Artikel zu Broadcom

Matchmaker+