Kaseya-Angriff: Cybercrime-Erpresser fordern 70 Millionen US-Dollar

Die REvil-Bande bietet ein universelles Entschlüsselungstool für alle Opfer des Angriffs über Kaseya. Der Hersteller stellt Skripte zum Test der Systeme bereit.

Lesezeit: 5 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 169 Beiträge

So stellt sich Kaseya es vor, mit VSA alle IT-Akvitäten zu verwalten und zu automatisieren.

(Bild: Kaseya)

Von
  • Jürgen Schmidt
Inhaltsverzeichnis

Über einen Zero-Day-Angriff konnte die Cybercrime-Bande REvil tausende Rechner kapern und Daten verschlüsseln. Sie nutzte dabei eine bislang unbekannte Sicherheitslücke in Kaseya VSA aus. Das ist eine Server-Software, über die Managed Service Provider die Systeme ihrer Kunden warten. Jetzt bietet REvil ein "universelles Entschlüsselungs-Tool" an – für 70 Millionen US-Dollar in Bitcoin. Das wäre nach dem Lösegeld von 40 Millionen US-Dollar, die die US-Versicherung CNA Financial im Mai angeblich bezahlte, eine neue Rekordsumme.

Über die Zero-Day-Angriffe auf Kaseya-VSA-Server erreichten die Kriminellen die Systeme tausender Firmen.

(Bild: Truesec)

REvil ist eine der führenden Cybercrime-Banden, die sich auf das Erpressen von Firmen spezialisiert hat, bei denen sie selbst oder einer ihrer Affiliates eingebrochen sind. Dazu bietet sie für kleinere Gangs Komplettpakete für "Ransomware as a Service" (RaaS) an und betreibt eine eigene "Enthüllungsplattform" im Tor-Netz, auf der sie gestohlene Daten der erpressten Opfer häppchenweise veröffentlichen. Dort bieten sie auch in einer aktuellen Meldung die "Verhandlungen" über einen universellen Decryptor an. Mit dem sollen alle Opfer innerhalb einer Stunde ihre Daten wiederherstellen können.

Das "Angebot" der REvil-Bande...

Der aktuelle Angriff über die Kaseya-Software ist insofern etwas Besonderes, als ein sogenannter Zero Day Exploit zum Einsatz kommt. Der nutzt als Einfallstor eine bislang unbekannte Sicherheitslücke, gegen die es noch kein schützendes Update des Herstellers gibt – das verspricht Kaseya für den heutigen Montagnachmittag. Bis zu dessen Erscheinen bleibt die Empfehlung, alle Installationen von Kaseya VSA offline zu nehmen. Mittlerweile stellt Kaseya zumindest Tools bereit, mit denen sich die VSA-Server und von denen gemanagte Endpunkte auf Anzeichen einer Infektion untersuchen lassen. Die Sicherheitsfirma Truesec liefert konkrete Indicators of Compromise, mit denen sich das auch in Eigenregie realisieren lässt.

Außerdem handelt es sich um einen sogenannten Supply-Chain-Angriff, bei dem die Opfer selbst gar nichts falsch gemacht haben, sondern über legitime Software kompromittiert werden. Ende vorigen Jahres traf es auf ähnliche Art Unternehmen, die die Netzwerkmanagement-Software Solarwinds Orion einsetzten. Sowohl Zero-Day-Exploits als auch Angriffe über die Suply-Chain gehören zu den fortgeschrittenen Angriffstechniken, die typischerweise von staatlich gelenkten Angreifern eingesetzt werden. Doch bei REvil handelt es sich eher um organisierte Kriminalität als um Geheimdienstaktivitäten.

Man darf gespannt sein auf die Reaktion der USA, wo es die meisten betroffenen Systeme gibt. Als die Cybercrime-Bande Darkside mit ihrem Ransomware-Angriff dafür sorgte, dass Teile der Benzinversorgung ausfielen, passierten plötzlich "Dinge". Die bereits gezahlten Bitcoins wurden irgendwie beschlagnahmt, die Tor-Onion-Site der Erpresser war plötzlich lahmgelegt und deren Command&Control-Infrastruktur ebenso.

Bis heute ist nicht klar, wer da genau aktiv wurde und wie sie all diese Dinge bewerkstelligt haben. Letztlich wurde das Darkside jedenfalls alles zu heiß, sie zogen sich öffentlich aus dem Ransomware-Business zurück. Das hat übrigens auch REvil schon mal getan, als sie sich vor ziemlich genau zwei Jahren mit den GandCrab-Gewinnen angeblich zur Ruhe setzten.

Von unabhängiger Seite war das gesamte Ausmaß der Schäden bisher kaum einzuschätzen. Die IT-Sicherheitsfirma Huntress sprach von mehr als 1000 Unternehmen, in denen Systeme verschlüsselt worden seien. Kaseya selbst berichtete, dass weniger als 40 Kunden betroffen gewesen seien. Allerdings waren darunter auch wiederum Dienstleister, die ihrerseits mehrere Kunden haben. Die Folge war ein Domino-Effekt.

So wurde über mehrere Ecken die schwedische Supermarkt-Kette Coop getroffen. Von den gut 800 Läden waren am Wochenende zeitweise nur 5 geöffnet, weil die Kassensysteme nicht funktionierten. Am Sonntag gelang es dem Unternehmen, zumindest in einem Teil der Märkte auf die Zahlung per hauseigener "Scan & Pay"-App umzustellen.

In Deutschland waren dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zufolge ein IT-Dienstleister und mehrere seiner Kunden betroffen. Es handele sich um einige tausend Computer bei mehreren Unternehmen, sagte ein Sprecher am Sonntag.

REvil steckte vor wenigen Wochen bereits hinter dem Angriff auf den weltgrößten Fleischkonzern JBS. Das Unternehmen musste als Folge für mehrere Tage Werke unter anderem in den USA schließen. JBS zahlte den Angreifern umgerechnet elf Millionen Dollar in Kryptowährungen.

Mehr Infos

Die Schwachstelle bei Kaseya war bereits von Sophos-Sicherheitsforschern entdeckt worden. Sie arbeiteten zusammen mit dem Unternehmen daran, sie zu schließen. "Unglücklicherweise wurden wir im Schlussspurt von REvil geschlagen", schrieben die Experten in einem Blogeintrag.

(ju)