Startseite > Security > Ransomware-Kampagne bedroht hunderte Unternehmen

Supply-Chain-Angriff auf Kaseya

Ransomware-Kampagne bedroht hunderte Unternehmen

5. Juli 2021, 12:00 Uhr |

Am Freitag (2.Juli) wurde der US-amerikanische IT-Management-Anbieter Kaseya Ziel eines Angriffs einer Ransomware-Gruppe. Den Angreifern gelang es laut Kaseya-Angaben, die IT-Systeme einer Reihe von Anwenderunternehmen zu infizieren. Besonders brisant ist dieser Fall deshalb, weil Kaseya seine Software namens VSA hauptsächlich an MSPs (Managed Services Provider) liefert, die dann wiederum jeweils eine Vielzahl von kleineren und mittelgroßen Unternehmen aus der Ferne betreuen. Fachleute gehen deshalb davon aus, dass hunderte von Unternehmen, eventuell sogar über 1.000, in mehreren Ländern von diesem Ransomware-Angriff betroffen sind.

Laut Erkenntnissen das britischen Security-Providers Sophos scheint es, dass die Angreifer eine Zero-Day-Schwachstelle ausnutzten, möglicherweise per SQL-Injektion (SQLi), um aus der Ferne auf VSA-Server zuzugreifen. Es handelt sich also um einen sogenannten Supply-Chain-Angriff ähnlich dem, der letztes Jahr auf den US-Softwareanbieter SolarWinds abzielte: Die Angreifer infizieren die Systeme eines IT-Ausrüsters, um dann über diesen „Umweg“ über die IT-Lieferkette Zugriff auf Anwenderunternehmen zu erhalten – bei SolarWinds damals auf diverse US-Behörden, im aktuellen Fall privilegierten Zugriff auf die Endgeräte zahlreicher Firmen zum Zweck der Erpressung.

Ein VSA-Server dient zur Automatisierung von IT-Aufgaben wie etwa Software-Rollouts. „Als solches besitzt er ein hohes Maß an Vertrauen seitens der Kundengeräte“, erläutert Sophos. „Wenn der VSA Server infiltriert wird, wird jeder angeschlossene Client jede Aufgabe ausführen, die der VSA Server anfordert, ohne zu hinterfragen.“ Dies sei wahrscheinlich ein Grund, warum die Kriminellen Kaseya ausgewählt hatten.

„Wir sind zu 100 Prozent sicher, dass wir wissen, wie es passiert ist, und wir haben es behoben“, sagte Kaseya-CEO Fred Voccola gegenüber der US-Fernsehsendung „Good Morning America“. Offenbar konnten die Angreifer also eine Zero-Day-Schwachstelle ausnutzen, kurz bevor Kaseya in der Lage war, sie zu schließen.

VSA wurde damit, so Mark Loman, Director of Engineering bei Sophos, durch ein infiziertes Update zu einem „Verteiler für die Ransomware umfunktioniert“: Die bösartige Binärdatei C:\Windows\mpsvc.dll wurde laut Lomans Ausführungen auf Twitter in eine legitime Microsoft-Defender-Kopie geladen und in C:\Windows\MsMpEng.exe kopiert, um die Verschlüsselung von einem legitimen Prozess auszuführen.

Der Hintergrund laut seinen Erkenntnissen: „Einige erfolgreiche Ransomware-Gruppierungen haben in letzter Zeit Lösegeld in Millionenhöhe erbeutet, wodurch sie möglicherweise sehr wertvolle Zero-Day-Exploits erwerben können. Bestimmte Exploits sind bislang normalerweise nur auf Nationalstaaten-Ebene realisierbar gewesen, die diese Tools normalerweise ganz gezielt für einen bestimmten, isolierten Angriff einsetzen. In den Händen von Cyberkriminellen kann ein solcher ‚Premium-Exploit‘ für eine Schwachstelle in einer globalen Plattform viele Unternehmen gleichzeitig treffen und Auswirkungen auf unser tägliches Leben haben.“

Fachleute unter anderem von Sophos oder Eset gehen davon aus, dass die russische Erpresserorganisation REvil hinter dem Angriff steckt. REvil war laut FBI auch der Bedrohungsakteur, der kürzlich den Betrieb des Fleischverarbeiters JBS lahmgelegt hatte.