Der Ransomware-Fall Kaseya und was wir daraus lernen können

Angreifer machten sich das VSA-Produkt von Kaseya zunutze, um Ransomware bei mehreren Unternehmen weltweit zu verbreiten.

Kaseya selbst meldet, dass “die Angreifer in der Lage waren, Zero-Day-Schwachstellen im VSA-Produkt auszunutzen, um die Authentifizierung zu umgehen und beliebige Befehle auszuführen. Dadurch konnten die Angreifer die Standardfunktionalität des VSA-Produkts ausnutzen, um Ransomware auf Endpunkten zu installieren. Es gibt keine Hinweise darauf, dass die VSA-Codebasis von Kaseya böswillig verändert wurde.”

Dabei handelt es sich nicht um einen Supply-Chain-Angriff (wie den Angriff auf SolarWinds Ende letzten Jahres), bei dem Angreifer die Hardware/Software eines Lieferanten manipulieren, um abhängige Unternehmen zu kompromittieren. Die Ähnlichkeit besteht darin, dass beide das Vertrauen ausnutzen, das Unternehmen in Lieferanten setzen. Die Unterschiede sind jedoch wichtig genug, um die beiden als separate Methoden zu betrachten (die Beschreibungen von MITRE finden Sie hier und hier), wobei letztere unter Ransomware-Gruppen immer beliebter wird. Tatsächlich war Kaseya im Jahr 2019 Opfer eines ähnlichen Angriffs.

Was eigentlich passiert ist

Am 2. Juli 2021 meldete Kaseya, dass einige ihrer Kunden von Cyberangriffen betroffen waren, die auf einen Missbrauch ihrer VSA Remote Monitoring and Management (RMM)-Software zurückzuführen waren. Die betroffenen Kunden scheinen auf Kunden mit on-premise Installationen der VSA-Software beschränkt zu sein. Kunden mit dem SaaS-VSA-Angebot von Kaseya sind offenbar nicht betroffen.

Der Cyberangriff wurde öffentlich REvil zugeschrieben – einer Ransomware-Gruppe, die zuvor Schlagzeilen machte, indem sie verwundbare Pulse Secure VPN-Server ausnutzte. Die Opfer des Angriffs berichten, dass ihre Systeme durch Ransomware verschlüsselt wurden, die mit der Gruppe in Verbindung gebracht wird. REvil behauptet, dass über eine Million Geräte von diesem Angriff betroffen sind.

Eine nicht vorhersehbare Auswirkung

Die genaue Anzahl der betroffenen Unternehmen ist derzeit nicht bekannt. Eine Analyse legt nahe, dass 1.500 Unternehmen betroffen sind.

Die Behauptung von REvil, dass eine Million Geräte betroffen sind, ist laut Mikko Hypponen, Chief Research Officer von F-Secure, plausibel.

“Denken Sie an eine Einzelhandelskette, z. B. eine Supermarktkette”, sagte er. “Jedes einzelne Kassensystem ist ein Endpunkt. Jeder Laptop. Jeder in der Verkaufsabteilung hat ein System mit mehreren Servern. 200 Läden, 300 Läden. Das allein entspräche schon tausenden von Endpunkten. Und wenn tausend Einzelhandelsunternehmen betroffen wären, ja, dann hätten Sie eine Million Endpunkte.”

Wenn das stimmt, ist dieser Angriff möglicherweise der größte Ransomware-Angriff in der Geschichte (oder nur der zweitgrößte nach WannaCry von 2017).

If Revil’s claim of one million infected systems is true, what we’re currently experiencing is the biggest ransomware case in history.

— @mikko (@mikko) July 5, 2021

Eine Folge der Vorgehensweise von REvil bei diesem Angriff ist, dass man unmöglich die vollen Auswirkungen vorhersehen kann. In einem Interview mit Reuters gab die Gruppe zu, dass der Angriff auf Schulen in Neuseeland “ein Fehler” war.

Sind F-Secure-Kunden geschützt?

Ja. F-Secure hat beobachtet, dass diese Ransomware bei Opfern in 6 Ländern eingesetzt wurde: Argentinien, Irland, Italien, Norwegen, Schweden und den Vereinigten Staaten.

Erkennungen im Zusammenhang mit Kaseya vom 2. bis 6. Juli.

Die Produkte und Services von F-Secure bieten auf verschiedene Weise Schutz vor diesem Angriff. Weitere Informationen darüber, wie Sie geschützt sind, sowie technische Details und Indikatoren finden Sie in der ersten Stellungnahme von F-Secure zu diesem Vorfall.

Wie sollte ich jetzt vorgehen, wenn ich ein Kaseya Kunde bin?

Wenn Sie ein Kaseya VSA On-Premise-Produkt einsetzen, nehmen Sie es offline und isolieren Sie es, bis sichergestellt ist, dass das Risiko der Ausnutzung dieser Schwachstellen gemindert wurde. F-Secure rät Kaseya SaaS-Kunden, ihre Exposition zu überprüfen und das mögliche Risiko einer Ausnutzung zu reduzieren.

F-Secure empfiehlt Unternehmen außerdem, die Anmeldeinformationen und vertraulichen Daten zu überprüfen, auf die das Kaseya VSA-Produkt in ihrer Umgebung Zugriff hat. Versuchen Sie, diese zurückzusetzen, wo immer dies möglich ist, um zusätzliche Sicherheit zu gewährleisten. Zum jetzigen Zeitpunkt gibt es keine Beweise dafür, dass diese kompromittiert wurden, aber die Untersuchung entwickelt sich schnell weiter.

Kaseya stellt weiterhin Updates auf seiner Website zur Verfügung.

Erkenntnisse aus dem Vorfall

Die Untersuchungen zu den vollständigen Auswirkungen dieses Vorfalls sind noch nicht abgeschlossen. Dennoch sind hier einige Erkenntnisse aus diesem Vorfall zu finden, zusammen mit einigen Ratschlägen, die immer anwendbar sind.

Die Transparenz von Kaseya, die mutige Entscheidung, die gesamte SaaS-Infrastruktur abzuschalten, und die sofortige Kommunikation mit den Kunden zeigen, dass das Unternehmen strukturierte Notfallpläne durchführt, die auf diese Art von Angriffen vorbereitet sind. Außerdem scheint die Umsetzung des Plans schnell erfolgt zu sein, was wahrscheinlich auf die interne Bereitschaft und Schulung zurückzuführen ist.

Jedes Unternehmen könnte von der Reaktion von Kaseya lernen: Sie sollten einen Reaktionsplan haben und – was noch wichtiger ist – praktisch umsetzen, wie dieser Plan im Falle eines Angriffs ausgeführt werden würde.

Im Folgenden finden Sie eine Liste von Fragen, die sich Unternehmen stellen können, wenn sie das nächste Mal von einem Cyberangriff betroffen sind, der weltweit Schlagzeilen gemacht hat:

• Auf welche Daten haben es die Angreifer abgesehen?
• Sind wir in der Lage, den Bedrohungsakteur oder ein allgemeines Profil zu identifizieren?
• Welche Fortschritte/Auswirkungen sind bereits an die Öffentlichkeit gelangt?
• Ist unser Notfallplan bereit, um diese Art von Vorfall einzudämmen/abzuschwächen?

Bekämpfung zukünftiger Ransomware-Angriffe

Das grundlegende Problem ist, dass die Seite der Verteidiger alles richtig machen müssen, denn der Angreifer muss lediglich einen Fehler finden. Der Angreifer muss lediglich einen Fehler finden. Verteidiger müssen sich an strenge Richtlinien und Prozesse halten. Angreifer befolgen dagegen keine Regeln.

Sicherheit ist ein sich ständig weiterentwickelnder Prozess, der durch die wachsende Abhängigkeit von Drittanbietern und Software erschwert wird. Dennoch können Unternehmen ihre Aussichten erheblich verbessern, indem sie die Angriffsvektoren reduzieren.

Die folgenden Schritte können alle Unternehmen jetzt zum Schutz vor Ransomware-Angriffen einleiten:

• Verfügen Sie über zuverlässige Backups und führen Sie regelmäßig Tests durch, um deren Integrität zu überprüfen.
• Evaluieren Sie Software-Patching und ein angemessenes Patch-Management. Öffentlich zugängliche Systeme sollten priorisiert werden.
• Überprüfen Sie alle Sicherheitsrichtlinien – einschließlich der Benutzerverwaltung, der Bestandsliste und der Softwareverwaltung – und halten Sie sie auf dem neuesten Stand der Bedrohungslage. Alle Richtlinien für Systeme, die ständigen Änderungen unterliegen, sollten laufend überprüft werden.
• Behandeln Sie alle Drittanbieter oder Software als Teil des Unternehmens und überprüfen Sie diese, um die Einhaltung der Richtlinien sicherzustellen.
• Entwickeln Sie eine mehrschichtige Verteidigungsstrategie sowie einen Notfallplan für den Fall eines Angriffs. Üben, optimieren und evaluieren Sie diese Strategie, um sicherzustellen, dass sie mit der sich ständig verändernden Bedrohungslage Schritt hält.
• Stellen Sie sicher, dass alle Code-Abhängigkeiten von Drittanbietern für selbst erstellte Software geprüft werden. Wenn Sie Software von Drittanbietern integrieren, insbesondere Open-Source-Code, stellen Sie sicher, dass dieser überprüft und aktualisiert wird, sobald eine neue Version verfügbar ist, um mit den Sicherheitsupdates Schritt zu halten.