Eine neue Art von Ransomware Tsunami trifft
Hunderte von Unternehmen
100 prism
Die Auswirkungen waren bereits gravierend und
werden sich angesichts der Art der Ziele nur noch verschlimmern. Foto:
RL Photography/Getty Images
Es war wahrscheinlich unvermeidlich, dass die
beiden vorherrschenden Cybersicherheitsbedrohungen des Tages – Supply
Chain-Angriffe und Ransomware– sich zu Verwüstungen verschließen würden.
Genau das passierte am Freitagnachmittag, als die berüchtigte Kriminelle
Gruppe REvil die Dateien von Hunderten von Unternehmen auf einen Schlag
verschlüsselte, offenbar dank kompromittierter IT-Management-Software.
Und das ist erst der Anfang.
Die Situation entwickelt sich noch weiter und
bestimmte Details – am wichtigsten ist, wie die Angreifer die Software
überhaupt infiltriert haben – bleiben unbekannt. Aber die Auswirkungen
waren bereits gravierend und werden sich angesichts der Art der Ziele
nur noch verschlimmern. Die fragliche Software, Kaseya VSA, ist beliebt
bei sogenannten Managed Service Providern, die IT-Infrastruktur für
Unternehmen bereitstellen, die so etwas lieber auslagern, als sie selbst
zu betreiben. Das bedeutet, dass, wenn Sie erfolgreich einen MSP hacken,
Sie plötzlich Zugriff auf seine Kunden haben. Es ist der Unterschied
zwischen dem Knacken von Tresorboxen nacheinander und dem Diebstahl des
Skelettschlüssels des Bankmanagers.
Bisher hat REvil nach Angaben der
Sicherheitsfirma Huntress acht MSPs gehackt. Die drei, mit denen
Huntress zusammenarbeitet, sind direkt für 200 Unternehmen
verantwortlich, die ihre Daten am Freitag verschlüsselt gefunden haben.
Es braucht nicht viel Extrapolation, um zu sehen, wie viel schlimmer es
von dort bekommt, vor allem angesichts Kaseyas Allgegenwart.
"Kaseya ist die Coca-Cola des
Remote-Managements", sagt Jake Williams, Chief Technology Officer der
Unfallabwehrfirma BreachQuest. "Da wir in ein Feiertagswochenende gehen,
wissen wir erst am Dienstag oder Mittwoch nächster Woche, wie viele
Opfer dort sind. Aber es ist monumental."
Das Schlimmste beider Welten
MSPs sind seit langem ein beliebtes Ziel, vor
allem von nationalstaatlichen Hackern. Sie zu treffen ist eine furchtbar
effiziente Möglichkeit, zu spionieren, wenn Sie es verwalten können. Wie
eine Anklageschrift des Justizministeriums im Jahr 2018 zeigte, nutzten
Chinas Elite-APT10-Spione MSP-Kompromisse, um Hunderte von Gigabytes an
Daten von Dutzenden von Unternehmen zu stehlen. REvil hat auch MSPs
schon einmal ins Visier genommen und seinen Fuß in ein IT-Unternehmen
eines Drittanbieters genutzt, um 2019 22 texanische Gemeinden
gleichzeitig zu entführen.
Auch Angriffe auf die Lieferkette sind immer
häufiger geworden, vor allem in der verheerenden SolarWinds-Kampagne im
vergangenen Jahr, die Russland Zugang zu mehreren US-Behörden und
unzähligen anderen Opfern verschaffte. Wie MSP-Angriffe haben auch
Supply Chain Hacks einen multiplikativen Effekt; ein Software-Update
kann Hunderte von Opfern bringen.
Sie können dann sehen, warum ein
Supply-Chain-Angriff, der auf MSPs abzielt, potenziell exponentielle
Folgen hat. Werfen Sie systemkrüme Ransomware in die Mischung, und die
Situation wird noch unhaltbarer. Es erinnert an den verheerenden
NotPetya-Angriff, der auch einen Lieferkettenkompromiss nutzte, um etwas
zu verbreiten, was zunächst wie Ransomware aussah, aber wirklich ein von
Russland verübter Nationalstaat-Angriff war. Eine neuere russische
Kampagne fällt mir ebenfalls ein.
"Das ist SolarWinds,
aber mit Ransomware", sagt Brett Callow, Bedrohungsanalyst beim
Antiviren-Unternehmen Emsisoft. "Wenn ein einzelner MSP kompromittiert
wird, kann dies Hunderte von Endbenutzern betreffen. Und in diesem Fall scheint es,
dass mehrere MSPs kompromittiert wurden, so ..."
https://www.wired.com/story/kaseya-supply-chain-ransomware-attack-msps/