Am 3. Juli 2021 meldete Kaseya: "Das VSA-Produkt von Kaseya wurde leider Opfer eines ausgeklügelten Cyberangriffs." Die Fernwartungssoftware Virtual Systems Administrator (VSA) wird von IT-Dienstleistern genutzt, um zum Beispiel Updates bei ihren Endkunden einzuspielen. Über eine Schwachstelle bei VSA ist nun offenbar die Ransomware REvil auf zahlreiche Systeme gelangt.
Kaseya mit Hauptsitz in Miami hat weltweit mehr als 36'000 Kunden. So sprach die Security-Firma Fortress bereits kurz nach Bekanntwerden von einem "kolossalen und verheerenden Angriff auf die Supply Chain", welcher tausende Unternehmen betreffen könnte. Auch Sophos ordnet den Angriff in der Rubrik "Supply Chain Distribution" ein. "Die Kriminellen nutzen Managed Service Provider (MSP) als Vertriebsplattform", schreibt der Security-Spezialist, "um so viele Unternehmen wie möglich zu treffen, unabhängig von Grösse oder Branche."
Europäische Supermärkte und IT-Dienstleister betroffen
Zu den Opfern gehört der schwedische Zahlungsdienstleister Visma Esscom. In der Folge musste am Freitagabend die schwedische Supermarktkette Coop rund 800 Filialen schliessen, weil die Kassensysteme blockiert waren. Am Sonntag erklärte Coop, man habe eine Vielzahl von Supermärkten im ganzen Land wieder geöffnet, wo Kunden mit der App "Scan & Pay" bezahlen könnten. "Leider ist diese Lösung noch nicht für alle unsere Filialen möglich, daher bleiben einige Filialen weiterhin geschlossen."
Laut schwedischen Medien waren auch die staatliche Eisenbahnlinie SJ, der öffentlich-rechtliche TV-Sender 'SVT' und die Apothekenkette Hjärtat von Störungen betroffen. In Deutschland habe sich bis jetzt beim Bundesamt für Sicherheit in der Informationstechnik (BSI) mindestens ein IT-Dienstleister gemeldet, dessen Kunden in Mitleidenschaft gezogen worden seien. Es handle sich um einige tausend Computer bei mehreren Unternehmen. Das Cybersicherheitsunternehmen ESET identifizierte Opfer in mindestens 17 Ländern, darunter nebst den USA in Grossbritannien, Holland, Südafrika, Kanada, Argentinien, Mexiko, Indonesien, Neuseeland und Kenia.
Noch keine Schweizer Opfer bekannt
Das schweizerische Nationale Zentrum für Cybersicherheit (NCSC), schreibt auf
seiner Website heute Montag: "Aktuell sind beim NCSC noch keine Meldung von betroffenen Unternehmen in der Schweiz eingegangen. Das NCSC führt laufend ein Monitoring durch und steht mit Kaseya in Kontakt."
Hinter dem Angriff soll die Ransomware-Gang REvil stecken, die in letzter Zeit unter anderem für Attacken auf
den Apple-Zulieferer Quanta oder
den Computer-Hersteller Acer verantwortlich sein soll. Ihre Basis wird in Russland vermutet. Die Gruppe fordert in einem Blog-Beitrag ein Lösegeld von 70 Millionen Dollar für ein universelles Entschlüsselungstool. "Mehr als eine Million Systeme wurden infiziert", behauptet die Gruppe.
Kaseya arbeitet am Patch
Gemäss
'Bleeping Computer' war Kaseya gerade dabei, eine Zero-Day-Schwachstelle (CVE-2021-30116) zu schliessen, als REvil eben diese angriff. Kaseya hat inzwischen das Cybersicherheits-Unternehmen Fireeye angeheuert, um die Folgen der Attacke zu bewältigen. Auf seiner Website teilte Kaseya mit, dass seine Mitarbeiter bei der Untersuchung des Angriffs aktiv mit Fireeye und anderen Sicherheitsfirmen zusammenarbeiteten.
Fred Voccola, CEO von Kaseya, sagte gegenüber
'CRN', die von den Cyberkriminellen ausgenutzte Schwachstelle sei nur in einer kleinen Instanz der 6500 On-Premises-Kunden von Kaseya verfügbar, es seien etwa 50 MSPs betroffen. Man entwickle einen Patch und lasse derzeit zwei Drittorganisationen Penetrationstests für diesen durchführen.
"Alle VSA-Server sollen offline bleiben"
Im Update zum Vorfall empfiehlt Kaseya seinen Kunden: "Alle lokalen VSA-Server sollten weiterhin offline bleiben, bis Kaseya weitere Anweisungen dazu gibt, wann der Betrieb sicher wiederhergestellt werden kann." Falls die Erpresser Kontakt aufnehmen sollten, solle nicht auf Links geklickt werden – diese könnten weitere Angriffstools enthalten.
"Sobald wir mit dem Wiederherstellungsprozess des SaaS-Rechenzentrums begonnen haben, werden wir den Zeitplan für die Verteilung des Patches für lokale Kunden veröffentlichen", so Kaseya. Weiter hat das Unternehmen
ein Tool veröffentlicht, das Spuren eines möglichen Angriffs feststellen soll.
US-Präsident Joe Biden erklärte, er habe US-Geheimdienste angewiesen, zu untersuchen, wer hinter dem ausgeklügelten Ransomware-Angriff stecke. "Wir sind uns nicht sicher, wer hinter dem Angriff steckt. Der erste Gedanke war, dass es nicht die russische Regierung war, aber wir sind uns noch nicht sicher." Die Vereinigten Staaten würden jedoch reagieren, wenn sich herausstellen sollte, dass Russland die Schuld trage.