Hackerattacke auf Kaseya

Ransomware legt über 1000 Firmen lahm

05.07.2021
Von 
Martin Bayer ist Chefredakteur von COMPUTERWOCHE, CIO und CSO. Spezialgebiet Business-Software: Business Intelligence, Big Data, CRM, ECM und ERP.
Mit dem Angriff auf den IT-Dienstleister Kaseya demonstrieren Cybergangster, dass sie es darauf anlegen, ihre Attacken zu skalieren. Wie groß der Schaden ausgefallen ist, lässt sich noch nicht absehen.
Ransomware-Attacken häufen sich. Die Hacker werden dabei immer raffinierter.
Ransomware-Attacken häufen sich. Die Hacker werden dabei immer raffinierter.
Foto: Leremy - shutterstock.com

Noch immer sind die Folgen eines Hackerangriffs auf den IT-Dienstleister Kaseya nicht absehbar. In den ersten Julitagen war es der vermutlich von Russland aus operierenden Hackerbande REvil gelungen, eine Schwachstelle in Kaseyas VSA-Software auszunutzen. Dabei handelt es sich um eine Lösung für das Remote Monitoring and Management (RMM), die auf den PCs und Servern der Kunden installiert und genutzt wird, diese aus der Ferne über ein zentrales Dashboard zu überwachen und zu warten. Dazu gehören beispielsweise das Patchen der Systeme und das Aufspielen von Software-Updates. Neben vielen Anwenderunternehmen nutzen auch zahlreiche Managed Service Provider (MSPs) die Lösung.

Das Fatale an dieser Konstellation: Um ihre Aufgaben bewältigen zu können, besitzt Kaseyas VSA-Software in aller Regel Administratorenrechte. Das sorgte für einen regelrechten Domino-Effekt. Experten sprechen von einer sogenannten "Supply Chain Attack". Die Cybergangster müssen wie in diesem Fall nur ein zentrales Softwaresystem knacken, um von dort aus ihre Ransomware auf viele weitere IT-Infrastrukturen verschiedener Anwenderunternehmen verteilen zu können.

REvil-Hacker mit Gespür fürs Timing

Die Hacker haben ihren Angriff gut geplant. Kurz vor dem Wochenende zum US-amerikanischen Unabhängigkeitstag am 4. Juli rechneten sie mit einer geringeren Aufmerksamkeit der Security-Teams und mit langsameren Reaktionszeiten. Das hat offenbar funktioniert. Während die Kaseya-Verantwortlichen kurz nach Bekanntwerden der Attacke noch zu beschwichtigen versuchten und die Zahl der Opfer auf etwa 40 taxierten, sprachen Security-Experten nach dem Wochenende von über 1.000 Unternehmen, deren Systeme von der REvil-Ransomware verschlüsselt worden sein könnten.

Zu den betroffenen Betrieben, die ihre Systeme herunterfahren mussten, gehörte die Supermarktkette Coop in Schweden. Den Filialleitern wurde empfohlen, ihre Geschäfte am Samstag, den 3. Juli, erst gar nicht zu öffnen, weil offenbar die Kassensysteme komplett auszufallen drohten. "Wir glauben, dass wir die Schwachstelle entdeckt haben, und werden sie so schnell wie möglich schließen", teilte Kaseya-CEO Fred Voccola seinen Kunden kurz nach dem Angriff mit. Obwohl erste Anzeichen darauf hindeuteten, dass nur eine kleine Zahl von On-premises-Kunden betroffen seien, habe der Anbieter, um sicherzugehen, auch seine eigenen SaaS-Dienste heruntergefahren, um seine mehr als 36.000 Kunden zu schützen. Man habe die Behörden eingeschalten und das FBI informiert, so Voccola weiter.

Kaseya-Kunden sollen Systeme noch nicht hochfahren

Doch das Krisenmanagement scheint sich schwierig zu gestalten. Auch zwei Tage nach dem Angriff rät Kaseya seinen On-premises-Kunden, ihre VSA-Systeme nicht wieder einzuschalten und offline zu bleiben. Unternehmen, die Opfer eines Ransomware-Angriffs geworden seien und von den Hackern kontaktiert wurden, sollten auf keinen Fall auf irgendwelche Links klicken - damit könnten sie weiteren Schadcode nachladen, so die Warnung. Mittlerweile bietet der IT-Dienstleister seinen Kunden ein Detection-Tool an, mit dessen Hilfe sich feststellen lassen soll, ob die eigenen Systeme kompromittiert worden sind.

Das scheint bei mehr Unternehmen der Fall zu sein als ursprünglich angenommen. "Wir verfolgen 30 MSPs in den USA, Australien, Europa und Lateinamerika, bei denen die Hacker Kaseya VSA verwendet haben, um weit über 1.000 Unternehmen zu verschlüsseln", schrieb John Hammond, ein leitender Sicherheitsforscher beim Managed Threat Detection and Response-Anbieter Huntress, in einem Blogbeitrag. Alle diese VSA-Server liefen On-premises, hieß es weiter. Huntress bestätigte, dass die Hacker eine SQLi-Schwachstelle ausgenutzt hätten, um die Authentifizierung auszuhebeln.

Seien die Systeme einmal gekapert, würden sich die Hacker entsprechende Administratorenrechte sichern. In der Folge lüden die Angreifer einen manipulierten VSA-Agent nach, den die REvil-Ransomware auf die betroffenen Systemen aufgespielt habe. Sämtliche Daten seien in der Folge verschlüsselt worden. Über ein PowerShell-Kommando wurden gängige Sicherheits-Features lahmgelegt. Den Betreibern blieb als einziger Ausweg, um die weitere Verbreitung der Ransomware einzudämmen, die Systeme komplett auszuschalten.

Ransomware as a Service boomt

REvil, auch bekannt als "Sodinokibi" oder "Pinchy Spider", ist eine Ransomware, die erstmals im April 2019 auftauchte. Die Malware wird als Ransomware-as-a-Service-Plattform betrieben. Das heißt, die Urheber bieten ihren Schadcode Partnern, sogenannte Affiliates, an, und kassieren einen Teil der Lösegeldzahlungen. Im vergangenen Jahr war REvil eine der am häufigsten eingesetzte Ransomware-Lösungen. Da die Malware von verschiedenen Hackergruppen einsetzt wird, variiert der anfängliche Zugriffsvektor.

Ersten Informationen zufolge belaufen sich die Forderungen der REvil-Erpresser im Fall des kaseya-Angriffs auf etwa 70 Millionen Dollar. Ein Bekennerschreiben der Hacker in einem Blog im Darknet ist nach Einschätzung von Security-Experten glaubwürdig. Die Angreifer teilen mit, sie würden eine Art Generalschlüssel herausrücken, mit dessen Hilfe sich sämtliche Systeme wiederherstellen ließen. Inzwischen sollen die Gangster einen Rabatt angeboten und den Preis für die Entschlüsselung auf 50 Millionen Dollar heruntergesetzt haben.

Mittlerweile beschäftigt die REvil-Attacke auch die große Politik. US-Präsident Joe Biden wies die US-amerikanischen Geheimdienste an, den Angriff zu untersuchen. Eine Schuldzuweisung, die russische Regierung könnte dahinterstecken, vermied der US-Präsident, schloss diese Möglichkeit aber auch nicht aus.

Verschiedene Ransomware-Attacken hatten in den zurückliegenden Wochen für Schlagzeilen gesorgt. REvil legte den weltgrößten Fleischfabrikanten JBS lahm, und der US-amerikanische Pipeline-Betrieber Colonial musste aufgrund einer Ransomware-Attacke der russischen Hackerbande Darkside seine Treibstofflieferungen unterbrechen. In beiden Fällen flossen Millionen Dollar an Lösegeld, um die Systeme wieder zum Laufen zu bringen.

BSI spricht von "dynamischem Lagebild"

Wie stark deutsche Unternehmen von der jüngsten REvil-Attacke betroffen sind, ist noch nicht abzusehen. Nach derzeitigem Stand seien hierzulande mehrere IT-Dienstleister und Unternehmen betroffen, gab das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einem kurzen Statement bekannt. Mehrere Tausend IT-Geräte seien verschlüsselt worden. Kritische Infrastrukturen oder die Bundesverwaltung seien aber wohl nicht betroffen. Das Lagebild entwickele sich jedoch weiter dynamisch, hieß es.

Arne Schönbohm, Präsident des BSI, bezeichnet Ransomware als eine der derzeit größten Bedrohungen.
Arne Schönbohm, Präsident des BSI, bezeichnet Ransomware als eine der derzeit größten Bedrohungen.
Foto: BSI

"Der Vorfall zeigt, wie intensiv die globale Vernetzung in der Digitalisierung voranschreitet und welche Abhängigkeiten dabei entstehen", sagte BSI-Präsident Arne Schönbohm. Bei dem aktuellen Angriff sei Ransomware über jedes Glied einer Software-Lieferkette ausgerollt worden. Das zeige deutlich, dass auch Lieferketten unter dem Aspekt der IT-Sicherheit in den Fokus rücken müssten. "Ransomware ist derzeit als eine der größten Bedrohungen für die IT von Unternehmen und Organisationen einzuschätzen", so Schönbohm weiter. "Bei erfolgreichen Angriffen werden Dienstleistungen und Produktion häufig zum Stillstand gebracht. Die Schäden für Betroffene sind daher oftmals enorm."

Hackerattacken - Unternehmen fallen reihenweise um

Auch der IT-Lobbyverband Bitkom warnt vor großen Schäden. "Mit der jüngsten Attacke auf das IT-Unternehmen Kaseya wird eine besonders perfide Masche genutzt, um Unternehmen in aller Breite zu attackieren", konstatierte Bitkom-Hauptgeschäftsführer Berhard Rohleder. Viele Unternehmen ließen sich von externen IT-Dienstleistern unterstützen. Werde die beim Dienstleister eingesetzte Software infiltriert, könne der Angriff quasi beliebig skaliert werden. "Die Cyberkriminellen machen sich die Hebelwirkung über den IT-Dienstleister zu Nutze, indem sie die Zielsysteme der Endkundinnen und -kunden verschlüsseln und horrende Lösegelder erpressen", so Rohleder. "Wird ein solcher Angriff erfolgreich geführt, fallen die Kundinnen und Kunden reihenweise um."

Hacking hat sich zu einer maßgeblichen Bedrohung für den Schutz der Bevölkerung und deren Versorgungssicherheit entwickelt, sagt Bernhard Rohleder, Hauptgeschäftsführer des Bitkom.
Hacking hat sich zu einer maßgeblichen Bedrohung für den Schutz der Bevölkerung und deren Versorgungssicherheit entwickelt, sagt Bernhard Rohleder, Hauptgeschäftsführer des Bitkom.
Foto: Bitkom

Nach Darstellung des Bitkom stellt der jüngste Angriff auf die Software-Lieferkette nur die Spitze eines Eisbergs in einer Reihe von Attacken dar. "Nach einem ähnlichen Muster erfolgte bereits der SolarWinds-Angriff, der Ende vergangenen Jahres bekannt wurde und bei dem ebenfalls die Software-Lieferkette als Einfallstor diente", sagte Geschäftsführer Rohleder. "Ziel waren dabei vor allem staatliche Institutionen und Großunternehmen." Mit der Kaseya-Attacke treffe es nun eine andere Zielgruppe - mit nicht weniger schwerwiegenden Konsequenzen für die Gesellschaft. "Hacking hat sich zu einer maßgeblichen Bedrohung für den Schutz der Bevölkerung und deren Versorgungssicherheit entwickelt. Das haben auch die Angriffe auf eine zentrale US-Ölpipeline, das irische Gesundheitssysteme sowie den weltgrößten Fleischproduzent eindrücklich unter Beweis gestellt."