von Redaktion IT-A…
Lesezeit
1 Minute
REvil-Ransomware über Kaseya-Server verteilt
Der IT-Dienstleister Kaseya sowie ein Teil von dessen Kunden sind Opfer einer großangelegten Ransomware-Attacke geworden. Hierfür nutzten die Angreifer offenbar Zero-Day-Schwachstellen in Kaseyas VSA-Server aus, die das Unternehmen noch am vergangenen Freitag stopfen wollte. Doch die Hacker waren schneller und verteilten ihre Schadsoftware gerade noch rechtzeitig.
Es war offenbar ein knappes Rennen: Während der IT-Dienstleister Kaseya damit beschäftigt war, mehrere Zero-Day-Lücken [1] in seiner VSA-Serversoftware nachzuvollziehen und zu schließen, nutzten die Macher der REvil-Ransomware diese Schwachstellen (CVE-2021-30116) gerade noch rechtzeitig aus, um mehrere Kunden des IT-Dienstleisters sowie das Unternehmen selbst zu infizieren.
Security-Forscher des DIVD CSIRT aus den Niederlanden haben die Lücken entdeckt [2] und Kaseya dabei unterstützt, diese zu schließen. Dessen Mitarbeiter waren dem Vernehmen nach auch ernsthaft an einer schnellen Behebung interessiert und arbeiteten eng mit den Niederländern zusammen, dennoch kamen ihnen die Angreifer zuvor.
Immerhin konnte die Zahl der über das Internet erreichbaren VSA-Serverinstanzen in den letzten Tagen massiv reduziert werden von knapp 2500 auf deutlich unter 500. Laut Kaseya sollen weniger als 40 Kunden von den Angriffen betroffen sein, darunter jedoch wiederum weitere Service-Provider, sodass die Liste tatsächlich infizierter Organisationen höher sein könnte. Ein betroffenes Unternehmen ist die schwedische Supermarktkette Coop [3], dessen Kassensysteme infolge des Angriffs ausfiel.
Kaseya empfiehlt seinen Kunden, alle lokal betriebenen VSA-Server zunächst offline zu lassen und erst dann wieder in Betrieb zu nehmen, nachdem diese abgesichert werden konnten. Auch sollten Firmen, die eine Erpressernachricht erhalten haben, keine Links darin anklicken, da diese zu einem weiteren Malware-Befall führen könnten. Nicht zuletzt bietet Kaseya ein Toolkit [4] an, mit dem sich eine mögliche Kompromittierung der eigenen IT-Umgebung ausfindig machen lässt – sofern nicht ohnehin Ransom-Notes die Bildschirme schmücken.
dr
[1] https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689-Important-Notice-July-2nd-2021
[2] https://csirt.divd.nl/2021/07/04/Kaseya-Case-Update-2/
[3] https://www.coop.se/Globala-sidor/stangda-butiker/
[4] https://kaseya.app.box.com/s/0ysvgss7w48nxh8k1xt7fqhbcjxhas40
Security-Forscher des DIVD CSIRT aus den Niederlanden haben die Lücken entdeckt [2] und Kaseya dabei unterstützt, diese zu schließen. Dessen Mitarbeiter waren dem Vernehmen nach auch ernsthaft an einer schnellen Behebung interessiert und arbeiteten eng mit den Niederländern zusammen, dennoch kamen ihnen die Angreifer zuvor.
Immerhin konnte die Zahl der über das Internet erreichbaren VSA-Serverinstanzen in den letzten Tagen massiv reduziert werden von knapp 2500 auf deutlich unter 500. Laut Kaseya sollen weniger als 40 Kunden von den Angriffen betroffen sein, darunter jedoch wiederum weitere Service-Provider, sodass die Liste tatsächlich infizierter Organisationen höher sein könnte. Ein betroffenes Unternehmen ist die schwedische Supermarktkette Coop [3], dessen Kassensysteme infolge des Angriffs ausfiel.
Kaseya empfiehlt seinen Kunden, alle lokal betriebenen VSA-Server zunächst offline zu lassen und erst dann wieder in Betrieb zu nehmen, nachdem diese abgesichert werden konnten. Auch sollten Firmen, die eine Erpressernachricht erhalten haben, keine Links darin anklicken, da diese zu einem weiteren Malware-Befall führen könnten. Nicht zuletzt bietet Kaseya ein Toolkit [4] an, mit dem sich eine mögliche Kompromittierung der eigenen IT-Umgebung ausfindig machen lässt – sofern nicht ohnehin Ransom-Notes die Bildschirme schmücken.
dr
[1] https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689-Important-Notice-July-2nd-2021
[2] https://csirt.divd.nl/2021/07/04/Kaseya-Case-Update-2/
[3] https://www.coop.se/Globala-sidor/stangda-butiker/
[4] https://kaseya.app.box.com/s/0ysvgss7w48nxh8k1xt7fqhbcjxhas40
