Ransomware-Angriff auf Kaseya könnte tausende Firmen betreffen

5. Juli 2021, 11:49
image

Die Supply-Chain-Attacke auf den US-Softwarehersteller Kaseya hat weitreichende Folgen. Die Hackergruppe REvil fordert 70 Millionen Dollar Lösegeld.

Am 3. Juli 2021 meldete Kaseya: "Das VSA-Produkt von Kaseya wurde leider Opfer eines ausgeklügelten Cyberangriffs." Die Fernwartungssoftware Virtual Systems Administrator (VSA) wird von IT-Dienstleistern genutzt, um zum Beispiel Updates bei ihren Endkunden einzuspielen. Über eine Schwachstelle bei VSA ist nun offenbar die Ransomware REvil auf zahlreiche Systeme gelangt.
Kaseya mit Hauptsitz in Miami hat weltweit mehr als 36'000 Kunden. So sprach die Security-Firma Fortress bereits kurz nach Bekanntwerden von einem "kolossalen und verheerenden Angriff auf die Supply Chain", welcher tausende Unternehmen betreffen könnte. Auch Sophos ordnet den Angriff in der Rubrik "Supply Chain Distribution" ein. "Die Kriminellen nutzen Managed Service Provider (MSP) als Vertriebsplattform", schreibt der Security-Spezialist, "um so viele Unternehmen wie möglich zu treffen, unabhängig von Grösse oder Branche."

Europäische Supermärkte und IT-Dienstleister betroffen

Zu den Opfern gehört der schwedische Zahlungsdienstleister Visma Esscom. In der Folge musste am Freitagabend die schwedische Supermarktkette Coop rund 800 Filialen schliessen, weil die Kassensysteme blockiert waren. Am Sonntag erklärte Coop, man habe eine Vielzahl von Supermärkten im ganzen Land wieder geöffnet, wo Kunden mit der App "Scan & Pay" bezahlen könnten. "Leider ist diese Lösung noch nicht für alle unsere Filialen möglich, daher bleiben einige Filialen weiterhin geschlossen."
Laut schwedischen Medien waren auch die staatliche Eisenbahnlinie SJ, der öffentlich-rechtliche TV-Sender 'SVT' und die Apothekenkette Hjärtat von Störungen betroffen. In Deutschland habe sich bis jetzt beim Bundesamt für Sicherheit in der Informationstechnik (BSI) mindestens ein IT-Dienstleister gemeldet, dessen Kunden in Mitleidenschaft gezogen worden seien. Es handle sich um einige tausend Computer bei mehreren Unternehmen. Das Cybersicherheitsunternehmen ESET identifizierte Opfer in mindestens 17 Ländern, darunter nebst den USA in Grossbritannien, Holland, Südafrika, Kanada, Argentinien, Mexiko, Indonesien, Neuseeland und Kenia.

Noch keine Schweizer Opfer bekannt

Das schweizerische Nationale Zentrum für Cybersicherheit (NCSC), schreibt auf seiner Website heute Montag: "Aktuell sind beim NCSC noch keine Meldung von betroffenen Unternehmen in der Schweiz eingegangen. Das NCSC führt laufend ein Monitoring durch und steht mit Kaseya in Kontakt."
Hinter dem Angriff soll die Ransomware-Gang REvil stecken, die in letzter Zeit unter anderem für Attacken auf den Apple-Zulieferer Quanta oder den Computer-Hersteller Acer verantwortlich sein soll. Ihre Basis wird in Russland vermutet. Die Gruppe fordert in einem Blog-Beitrag ein Lösegeld von 70 Millionen Dollar für ein universelles Entschlüsselungstool. "Mehr als eine Million Systeme wurden infiziert", behauptet die Gruppe.

Kaseya arbeitet am Patch

Gemäss 'Bleeping Computer' war Kaseya gerade dabei, eine Zero-Day-Schwachstelle (CVE-2021-30116) zu schliessen, als REvil eben diese angriff. Kaseya hat inzwischen das Cybersicherheits-Unternehmen Fireeye angeheuert, um die Folgen der Attacke zu bewältigen. Auf seiner Website teilte Kaseya mit, dass seine Mitarbeiter bei der Untersuchung des Angriffs aktiv mit Fireeye und anderen Sicherheitsfirmen zusammenarbeiteten.
Fred Voccola, CEO von Kaseya, sagte gegenüber 'CRN', die von den Cyberkriminellen ausgenutzte Schwachstelle sei nur in einer kleinen Instanz der 6500 On-Premises-Kunden von Kaseya verfügbar, es seien etwa 50 MSPs betroffen. Man entwickle einen Patch und lasse derzeit zwei Drittorganisationen Penetrationstests für diesen durchführen.

"Alle VSA-Server sollen offline bleiben"

Im Update zum Vorfall empfiehlt Kaseya seinen Kunden: "Alle lokalen VSA-Server sollten weiterhin offline bleiben, bis Kaseya weitere Anweisungen dazu gibt, wann der Betrieb sicher wiederhergestellt werden kann." Falls die Erpresser Kontakt aufnehmen sollten, solle nicht auf Links geklickt werden – diese könnten weitere Angriffstools enthalten.
"Sobald wir mit dem Wiederherstellungsprozess des SaaS-Rechenzentrums begonnen haben, werden wir den Zeitplan für die Verteilung des Patches für lokale Kunden veröffentlichen", so Kaseya. Weiter hat das Unternehmen ein Tool veröffentlicht, das Spuren eines möglichen Angriffs feststellen soll.
US-Präsident Joe Biden erklärte, er habe US-Geheimdienste angewiesen, zu untersuchen, wer hinter dem ausgeklügelten Ransomware-Angriff stecke. "Wir sind uns nicht sicher, wer hinter dem Angriff steckt. Der erste Gedanke war, dass es nicht die russische Regierung war, aber wir sind uns noch nicht sicher." Die Vereinigten Staaten würden jedoch reagieren, wenn sich herausstellen sollte, dass Russland die Schuld trage.

Loading

Mehr zum Thema

image

Cyberangriff auf Infopro trifft auch Gemeinde Messen

Die Solothurner Gemeinde musste ihre Services nach einem Angriff herunterfahren. Derzeit kommuniziert sie über eine provisorische GMX-E-Mail-Adresse.

publiziert am 25.11.2022
image

Whatsapp-Leck: Millionen Schweizer Handynummern landen im Netz

Durch einen Hack haben Unbekannte fast 500 Millionen Whatsapp-Telefonnummern ergaunert und verkaufen diese nun im Web. Auch Schweizer Userinnen und User sind davon betroffen.

publiziert am 25.11.2022 1
image

Nächste Untersuchung zum Microsoft-Activision-Deal

Nach der EU und Grossbritannien schaut sich wohl auch die ameri­ka­nische Federal Trade Commission die Milliardenübernahme des Spielestudios genauer an.

publiziert am 24.11.2022
image

Cyberkriminelle attackieren EU-Parlament

Die Website des EU-Parlaments wurde Ziel eines DDoS-Angriffes. Dahinter steckte angeblich eine kremlnahe Cyberbande.

publiziert am 24.11.2022