Schwedische Kunden, die am Samstag bei einer der 800 Filialen der Supermarktkette Coop einkaufen wollten, standen vor verschlossenen Türen. Die größte Supermarktkette des Landes war durch einen Hackerangriff mit Ransomware lahmgelegt worden – dabei war Coop nicht einmal das eigentliche Ziel der Attacke, sondern das IT- und Software-Unternehmen Kaseya mit Hauptsitz im fernen Miami.
Kaseya vertreibt und entwickelt die Fernwartungssoftware VSA, die wiederum von sogenannten Managed Service Providern (MSP) dafür genutzt wird, die Computersysteme und Netzwerke ihrer Kunden zu warten und vor Angriffen zu schützen. Insbesondere kleine und mittelständische Unternehmen setzen auf solche Dienstleister, beispielsweise um Updates zentral einzuspielen und auf Bedrohungen und Angriffe angemessen reagieren zu können, ohne die Expertise selbst im Haus zu haben. Dafür benötigen die MSPs umfangreiche Berechtigungen für die von ihnen verwalteten Systeme – und eben eine entsprechende Software, die ihnen Zugang auch aus der Ferne gewährt. Und genau die hat sich am 02. Juli 2021 als Schwachstelle entpuppt.
Kaseya selbst bestätigt den erfolgreichen Angriff und gibt an, dass dank eines schnellen Eingreifens und eines ausgereiften Incident-Response-Plans Schlimmeres verhindert werden konnte und „nur“ 40 der nach eigenen Angaben 36.000 Kunden betroffen waren. Sie alle hatten die VSA-Software auf ihren eigenen Servern betrieben, anstatt den Dienst über die Cloud zu beziehen. Während die Zahl von 40 Opfern zunächst vergleichsweise gering klingt, muss man sich vor Augen führen, dass es sich dabei um MSPs handelt, die die Infektion wiederum an ihre Kunden weitergegeben haben. Die IT-Sicherheitsfirma Huntress Labs gibt an, mittlerweile von mehr als 1.000 betroffenen Unternehmen in 17 Ländern zu wissen. Auch in Deutschland könnten Unternehmen in Mitleidenschaft gezogen werden, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt.
Hinter dem Angriff steckt die Gruppe REvil, die bereits in den letzten Wochen mit der Attacke auf den Fleischverarbeiter JBS Schlagzeilen machte, bei dem sie 11 Millionen US-Dollar in Bitcoin erbeuten konnten. Dieses Lösegeld haben die Hacker beim aktuellen Fall noch einmal deutlich erhöht: Stolze 70 Millionen US-Dollar in Bitcoin fordern sie. Dafür soll ein Universalschlüssel veröffentlicht werden, mit dem alle betroffenen Unternehmen ihre Systeme in nur einer Stunde wiederherstellen können.
Die Beteiligung von REvil hat mittlerweile auch die US-Regierung und -Strafverfolgung auf den Plan gerufen, denn die Herkunft der Hacker wird in Russland vermutet. Bereits in der Vergangenheit hat US-Präsident Biden den Kreml dafür gerügt, dass er Cyberkriminelle in seinem Land einfach gewähren lasse. Und auch die Vermutung, dass es sich um russische „Staatshacker“ handelt, steht noch im Raum, auch wenn Biden mit konkreten Schuldzuweisungen vorsichtig ist und zunächst mitteilte, dass die russische Regierung dem ersten Eindruck nach nicht dahintersteckt, aber man dessen noch nicht sicher sei.
Sicher hingegen ist, dass Ransomware zu einem immer drängenderen Problem wird und durch Angriffe auf mehrstufige Konstrukte wie im aktuellen Fall immer weitere Kreise zieht. Besonders tragisch scheint diesmal der Zeitpunkt der Attacke gewesen zu sein, denn wie das niederländische Dutch Institute for Vulnerability Disclosure (DIVD) am Sonntag mitteilte, wusste Kaseya um die ausgenutzte Sicherheitslücke in seiner VSA-Software und arbeitete bereits daran, diese zu schließen. Doch leider war das Unternehmen nicht schnell genug – oder die Cyberkriminellen hatten auf irgendeinem Weg mitbekommen, dass ihr geplanter Angriffsvektor geschlossen werden sollte. Insgesamt sind sich Experten einig, dass Kaseyas Umgang mit dem Vorfall vorbildlich war – trotz der massiven Auswirkungen der Attacke. Die Schäden hätten noch deutlich massiver ausfallen können, hätte das Unternehmen nicht so schnell und konsequent reagiert.
Kaseya vertreibt und entwickelt die Fernwartungssoftware VSA, die wiederum von sogenannten Managed Service Providern (MSP) dafür genutzt wird, die Computersysteme und Netzwerke ihrer Kunden zu warten und vor Angriffen zu schützen. Insbesondere kleine und mittelständische Unternehmen setzen auf solche Dienstleister, beispielsweise um Updates zentral einzuspielen und auf Bedrohungen und Angriffe angemessen reagieren zu können, ohne die Expertise selbst im Haus zu haben. Dafür benötigen die MSPs umfangreiche Berechtigungen für die von ihnen verwalteten Systeme – und eben eine entsprechende Software, die ihnen Zugang auch aus der Ferne gewährt. Und genau die hat sich am 02. Juli 2021 als Schwachstelle entpuppt.
Kaseya selbst bestätigt den erfolgreichen Angriff und gibt an, dass dank eines schnellen Eingreifens und eines ausgereiften Incident-Response-Plans Schlimmeres verhindert werden konnte und „nur“ 40 der nach eigenen Angaben 36.000 Kunden betroffen waren. Sie alle hatten die VSA-Software auf ihren eigenen Servern betrieben, anstatt den Dienst über die Cloud zu beziehen. Während die Zahl von 40 Opfern zunächst vergleichsweise gering klingt, muss man sich vor Augen führen, dass es sich dabei um MSPs handelt, die die Infektion wiederum an ihre Kunden weitergegeben haben. Die IT-Sicherheitsfirma Huntress Labs gibt an, mittlerweile von mehr als 1.000 betroffenen Unternehmen in 17 Ländern zu wissen. Auch in Deutschland könnten Unternehmen in Mitleidenschaft gezogen werden, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt.
Hinter dem Angriff steckt die Gruppe REvil, die bereits in den letzten Wochen mit der Attacke auf den Fleischverarbeiter JBS Schlagzeilen machte, bei dem sie 11 Millionen US-Dollar in Bitcoin erbeuten konnten. Dieses Lösegeld haben die Hacker beim aktuellen Fall noch einmal deutlich erhöht: Stolze 70 Millionen US-Dollar in Bitcoin fordern sie. Dafür soll ein Universalschlüssel veröffentlicht werden, mit dem alle betroffenen Unternehmen ihre Systeme in nur einer Stunde wiederherstellen können.
Die Beteiligung von REvil hat mittlerweile auch die US-Regierung und -Strafverfolgung auf den Plan gerufen, denn die Herkunft der Hacker wird in Russland vermutet. Bereits in der Vergangenheit hat US-Präsident Biden den Kreml dafür gerügt, dass er Cyberkriminelle in seinem Land einfach gewähren lasse. Und auch die Vermutung, dass es sich um russische „Staatshacker“ handelt, steht noch im Raum, auch wenn Biden mit konkreten Schuldzuweisungen vorsichtig ist und zunächst mitteilte, dass die russische Regierung dem ersten Eindruck nach nicht dahintersteckt, aber man dessen noch nicht sicher sei.
Sicher hingegen ist, dass Ransomware zu einem immer drängenderen Problem wird und durch Angriffe auf mehrstufige Konstrukte wie im aktuellen Fall immer weitere Kreise zieht. Besonders tragisch scheint diesmal der Zeitpunkt der Attacke gewesen zu sein, denn wie das niederländische Dutch Institute for Vulnerability Disclosure (DIVD) am Sonntag mitteilte, wusste Kaseya um die ausgenutzte Sicherheitslücke in seiner VSA-Software und arbeitete bereits daran, diese zu schließen. Doch leider war das Unternehmen nicht schnell genug – oder die Cyberkriminellen hatten auf irgendeinem Weg mitbekommen, dass ihr geplanter Angriffsvektor geschlossen werden sollte. Insgesamt sind sich Experten einig, dass Kaseyas Umgang mit dem Vorfall vorbildlich war – trotz der massiven Auswirkungen der Attacke. Die Schäden hätten noch deutlich massiver ausfallen können, hätte das Unternehmen nicht so schnell und konsequent reagiert.
Über die 8com GmbH & Co. KG
Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen von 8coms Kunden effektiv vor Cyberangriffen. Es beinhaltet ein Security Information and Event Management (SIEM), Vulnerability Management sowie professionelle Penetrationstests. Zudem bietet es den Aufbau und die Integration eines Information Security Management Systems (ISMS) inklusive Zertifizierung nach gängigen Standards. Awareness-Maßnahmen, Security Trainings und ein Incident Response Management runden das Angebot ab.
8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 15 Jahren ist das Ziel von 8com, Kunden die bestmögliche Leistung zu bieten und gemeinsam ein ökonomisch sinnvolles, aber trotzdem möglichst hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
Firmenkontakt und Herausgeber der Meldung:
8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de
Ansprechpartner:
Felicitas Kraus
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Eva-Maria Nachtigall
Leiterin Kommunikation & Medien
Telefon: +49 (6321) 48446-0
E-Mail: redaktion@8com.de
Leiterin Kommunikation & Medien
Telefon: +49 (6321) 48446-0
E-Mail: redaktion@8com.de
Weiterführende Links
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.
