09.07.2021 (Michael Baumann)
4.6 von 5, (16 Bewertungen)

Infektionsgeschehen bei Kaseya: Chronologie des Super-Gau

  • Inhalt dieses Artikels
  • Infektionsgeschehen bei Kaseya: Chronologie des Super-Gau
  • Supply-Chain-Angriff auf Update-Server
  • 2. Juli, 16:00: »Wenige On-Premises-Kunden«
  • Nicht aus dem Nichts
  • 2. Juli, 22:00: Sämtliche VSA-Server vom Netz
  • Schon wieder Revil
  • 3. Juli: Kaseya sucht, Biden erwägt und Coop schließt
  • Cyberangriff: Erste Folgen gemeldet
  • Cyberattacke: Jetzt wird’s politisch
  • 4. Juli: Independence Day und ein CEO im Stress
  • Montags in Deutschland: BSI statt RKI
  • 5. Juli, 19:00 Uhr MEZ: Erste Gesundungsschritte
  • Sechs Tage ohne VSA-Services
  • Bitkom: Milliardenschäden durch Attacken
  • Kaseya zur Situation in Deutschland
  • Update 09. Juli: »This sucks…«

»Ransomware-as-a-Service« (RaaS) ist quasi das offizielle Geschäftsmodell der Revil-Entwickler und ihrer Affiliate-Kunden, die Schad-Software über das Darknet leasen. Aktuell wurden damit die Sicherheitsschranken des Security-Anbieters Kaseya überwunden. Der Generalschlüssel auf die befallenen Systeme kostet 70 Millionen US-Dollar, egal, wer sie bezahlt. Wir liefern Chronologie und Hintergründe zu den Ereignissen sowie einen exklusiven Kommentar von Kaseya zur Situation in Deutschland.


Kaseya: Weltweiter Ransomware-Angriff (Bild via Canva Pro)

Wussten Sie, was RaaS ist? Das Kürzel steht für »Ransomware-as-a-Service« und ist das Geschäftsmodell der REvil-Entwickler, die ihre Schad-Software über das Darknet an Affiliate-Kunden vermieten. Diese haben nun die Sicherheitsschranken des Security-Anbieters Kaseya überwunden. Auf ihrer Leak-Plattform »Happy Blog« rühmen sich die illegalen Kryptografen und Datenkidnapper, über eine Million Geräte infiziert zu haben. Das wäre ein Vielfaches der bislang eingeräumten Zahlen. Der Generalschlüssel auf die Systeme kostet 70 Millionen US-Dollar in Bitcoin. Neuer Ransomware-Rekord!

Als sich die Mitarbeiter von Kaseya am späten Freitag-Nachmittag auf das lange Wochenende rund um den US-amerikanischen Nationalfeiertag vorbereiteten oder sich schon in diesem befanden, schrillten Alarmglocken: Cyberangriff im eigenen Haus. Mit der Feiertagsstimmung dürfte es für die Sicherheitsexperten vorbei gewesen sein.

Anzeige

Supply-Chain-Angriff auf Update-Server

Nicht nur der Zeitpunkt, sondern auch das Angriffsziel erscheinen perfide und lassen Raum für Spekulation. Kaseya ist US-Anbieter von Cloud- und On-Premises-Diensten für Software-, Patch- und Sicherheitsmanagement. Das zugehörige Produkt heißt VSA (Virtual System/Server Administrator), eine Unternehmens-Plattform für den Fernzugriff.

VSA ist eine Software, die Kunden zur Überwachung und Verwaltung ihrer Infrastruktur verwenden. Sie wird entweder als gehosteter Cloud-Service oder über lokale VSA-Server bereitgestellt. Diese lokalen SaaS-Server können von Endbenutzern oder MSPs bereitgestellt werden. Kaseya sendet aus seinen Rechenzentren Updates an diese lokalen Systeme, das letzte am 2. Juli. Dieses enthielt den Revil-Ransomware-Code.

Die diffuse, schwer aufzuhaltende Ausbreitung der Schad-Software über lokale MSPs ist Auslöser einer Kettenreaktion. Dieses Phänomen wird als »Supply-Chain-Angriff« bezeichnet und ähnelt in seiner grundlegenden Methodik dem SolarWinds-Angriff des letzten Jahres, bei dem Malware über einen Update-Server installiert wurde. Ziel waren dabei vor allem staatliche Institutionen und Großunternehmen. Jetzt trifft es auch viele kleine und mittlere Unternehmen.

2. Juli, 16:00: »Wenige On-Premises-Kunden«

Am Freitag, den 2. Juli um 16:00 Ortszeit (EPT) räumt der Anbieter über einen Firmeneigenen News-Poll erstmals eine »potenzielle Attacke« auf VSA-Systeme ein. Davon betroffen sei eine »geringe Anzahl« von On-Premises-Kunden. Ein Irrtum, wie sich herausstellen sollte. Zunächst werden Nutzer aufgerufen, ihre Systeme als Vorsichtsmaßnahme abzuschalten, bis der Zwischenfall geklärt sei.

Im Laufe des Tages sickert durch, dass Kaseya von etwa 40 betroffenen Kunden ausging. Allerdings 30 davon MSPs, die die Schad-Software vermutlich schon an ihre Kunden weitergeleitet haben. Potenziell sind schon Tausende von Unternehmen infiziert.

Kaseya ist kein kleiner Fisch, zählt weltweit über 36.000 Kunden und sollte über Know-how in der Materie verfügen. Auf seiner US-Seite wirbt der Anbieter für seinen Managed SOC-Dienst mit dem Slogan: »Stoppen Sie Angreifer mit unserer verwalteten Erkennungs- und Reaktionslösung für Cybersicherheit.« Zur Kaseya-Gruppe gehört Unitrends, dessen Backup-Lösung auch Ransomware-Schutz verspricht. Das Tochterunternehmen Spanning Clouds App bietet eine Dark-Web-Monitoring-Software. Eine weitere Tochter, RapidFire, ist mit dem Network Detective am Security-Markt vertreten.

Nicht aus dem Nichts

Dennoch wurde Kaseya offenbar bereits in der Vergangenheit Ziel von Cyberattacken. Im Februar 2019 sollen Cyber-Angreifer 2019 über die ConnectWise-Management-Software einen Schädling eingeschleust haben, der MSPs erreichte. Angreifer war wohl die Gruppierung Grandcrap, ein Vorgänger von Revil. Auch 2020 wurde von Zwischenfällen berichtet.

Das Dutch Institute for Vulnerability Disclosure (DIVD) behauptet mittlerweile, man habe Kaseya über Sicherheitslücken in der VSA-Plattform informiert und sei seither in ständigem Kontakt gestanden. Unbekannt ist allerdings, seit wann dies der Fall ist und was es in Bezug auf die aktuelle Lage bedeutet.

2. Juli, 22:00: Sämtliche VSA-Server vom Netz

Sechs Stunden nach der ersten Warnung vor einer potenziellen Bedrohung bestätigen sich die Befürchtungen. In einer Erklärung von Kasey heißt es nun: »Das VSA-Produkt von Kasey wurde leider Opfer eines ausgeklügelten Cyberangriffs. Aufgrund der schnellen Reaktion unserer Teams glauben wir, dass dies nur auf eine sehr kleine Anzahl von Kunden vor Ort beschränkt war.«

Kaseya informiert zu diesem Zeitpunkt darüber, dass nach den On-Premises-Servern nun auf Basis eines konservativen Vorgehens auch sämtliche SaaS-Server (Software-as-a-Service) gestoppt worden seien. Kunden seien per E-Mail, In-Product-Notizen und per Telefon gewarnt worden. Kunden, die E-Mails mit Lösegeldforderungen erhielten, sollten diese weder öffnen noch Links klicken, da unter Umständen die Schad-Software dadurch erst aktiviert würde. Das erscheint als naheliegender Tipp, allerdings weit entfernt einer Lösung. Die Daten sind erst einmal nicht zugänglich.

Die US-Sicherheitsbehörden, darunter FBI und CISA (Cybersecurity and Infrastructure Security Agency) seien informiert. Die Ermittlungen liefen auf Hochtouren, so der Anbieter. Der IT-Sicherheits-Experte Huntress Lab mutmaßt zu diesem Zeitpunkt, dass die Kriminellen eine Sicherheitslücke in SQLi nutzten und über einen Authentifizierung-Bypass in die VSA-Server eindringen konnten.

Schon wieder Revil

Die Revil-Gruppe (Ransomware Evil, auch bekannt als Sodinokibi) wird von Wikipedia als privat geführte Organisation mit RaaS-Geschäft beschrieben. Man nimmt an, dass die verwendeten Codes der Ransomware-Gruppe DarkSide nachgebildet und optimiert wurden.

Nach der Zerschlagung der Gruppierung GandCrap wurden offenbar deren Mitglieder für Revil rekrutiert. McAffee bezeichnete die Gruppe als »All-Stars« der Ransomware-Szene.

Um dies ganz klar zu sagen: Es handelt sich nicht um irgendwelche Nerds mit Geschäftsmodell, sondern um eine illegale, organisierte Vereinigungen mit enorm krimineller Energie. Larmoyante oder basisdemokratisch getünchte, beschönigende Beschreibungen erscheinen daher unangebracht.

Die Täter konnten bislang nicht lokalisiert werden. Aus der Tatsache, dass keine Angriffe gegen russische Organisationen oder Unternehmen aus der ehemaligen Sowjetunion (bezeichnet als Commonwealth of Independent States CIS) bekannt sind, leiten Ermittlungsbehörden ab, die Organisation hätte dort ihre zentralen Stellen, was immer wieder zu politisch-diplomatischen Spannungen zwischen Russland und den USA führt.

Das RaaS-Modell besagt, dass die Revil-Gruppe ihre Produkte im Auftrag entwickelt oder sie als Leasing temporär zur Verfügung stellt. Kunden sind Affiliate-Partner, die entsprechende Ziele identifizieren und die Schad-Software aus dem Darknet im Internet einsetzen. Spätestens über den Reddit-Aggregator Happy Blog erfahren die Geschädigten dann von ihrer Lage. Die erpressten Erträge werden wohl mit Revil geteilt.

Die Schadensliste liest sich lang: Im Mai 2020 behauptete ein anonymer Hacker, man habe Geheiminformationen über Donald Trump für 42 Millionen US-Dollar verkauft. Die US-Sängerinnen i>Lady Gaga und Madonna mussten mit harmloseren Leaks leben. Im Fokus stehen jedoch Behörden und Wirtschaftsunternehmen.

Den Anwälten von Grubman Shire Meiselas & Sacks wurden über ein TByte teils sensible Daten gestohlen. Allein seit März diesen Jahres waren Finanzdaten der Londoner Harris Federation, Systeme des Herstellers Acer, des Zulieferer Quanta Computer mit Konstruktionsdaten für Apple und Lenovo, der weltgrößte Fleischfabrikant JBS sowie der Energieversorger Invenergy Ziele von erfolgreichen Angriffen. Nun also Kaseya.

Jüngste Angriffe auf eine zentrale US-Ölpipeline von Colonia und das irische Gesundheitssystem waren erfolgreich, konnten aber nicht eindeutig REvil zugeordnet werden. Bekannt ist, dass JBS elf, Colonial 4,4 Millionen US-Dollar bezahlten.

3. Juli: Kaseya sucht, Biden erwägt und Coop schließt

Am Samstag kann Kaseya erstmals mit konkreteren Informationen und Maßnahmen aufwarten. Seit sieben Uhr morgens seien keine neuen Schadensfälle bekannt geworden, die Ausbreitung gestoppt. Auch sei man optimistisch, die Schwachstellen identifiziert zu haben. Bis zum Samstagabend wolle man ein Analyse-Tool bereitstellen, mit dem Kunden vor Ort testen können, ob ihre Systeme befallen sind. Sofern dies der Fall sei, sollen Kunden sofort damit beginnen, ihre Systeme neu aufzusetzen.

Offiziell wird gesagt, »wir haben mit der Korrektur des Codes begonnen und werden ab morgen früh regelmäßige Status-Updates zu unseren Fortschritten veröffentlichen. Wir werden mit ausgewählten Kunden zusammenarbeiten, um die Änderungen im Feld zu testen, sobald wir die Arbeiten abgeschlossen und in unserer Umgebung gründlich getestet haben.«

Cyberangriff: Erste Folgen gemeldet

So viel Zeit aber haben manche Kunden nicht. Der IT-Sicherheits-Dienstleister Huntress Labs meldet bereits mehr als 1.000 geschädigte Unternehmen in Argentinien, Großbritannien, Kanada, Mexiko, Niederlande, Neuseeland, Südafrika, Schweden, USA und Deutschland.

200 Fälle werden in den USA gemeldet. Bloomberg News berichtet, dass mit Synnex und Avtex LLC zwei US-basierte MSPs ihre Dienste eingestellt haben, in Neuseeland sei es Datacom. Ein Analyst des Sicherheitsdienstleisters Sophos berichtet, bei den Betroffenen gingen Lösegeldforderungen zwischen 50.000 und 5 Millionen US-Dollar ein.

Aus Europa wird am Nachmittag bekannt, dass rund 800 Filialen der Supermarktkette Coop in Schweden schließen mussten, da die Kassensysteme nicht mehr funktionierten. Das bedeutet einen Ausfall des nahezu kompletten, lukrativen Samstagsgeschäfts des Discounters. Ebenfalls in Schweden berichteten inzwischen auch die staatlichen Eisenbahnen und eine Apothekenkette von massiven Störungen.

Cyberattacke: Jetzt wird’s politisch

Der schwedische Verteidigungsminister (!) Peter Hultqvist kommentiert angesichts der Lage in einem Fernsehinterview: »In einer anderen geopolitischen Lage könnten uns staatliche Akteure auf diese Weise angreifen, um die Gesellschaft lahmzulegen und Chaos anzurichten.«

Auch US-Präsident Joe Biden ist der Vorfall schon bekannt. Er habe Geheimdienste mit einer Untersuchung des Vorfalls beauftragt. »Die anfängliche Überlegung war, dass es nicht die russische Regierung war, aber wir sind uns noch nicht sicher«, gibt er zu Protokoll.

Doch nicht nur staatliche Einrichtungen und große Konzerne sind betroffen. Auf twitter.com finden sich Stimmen mehr oder weniger verzweifelter User. Eine Freelancerin aus Deutschland beklagt, sie habe sich aus Vorsicht extra an einen professionellen Dienstleister gewandt. Nun wisse sie ohne Daten nicht weiter, allerdings auch nicht ihr lokaler Dienstleister. Dieser teilte ihr mit, er könne ihr derzeit nicht helfen und spricht von einem »Super-Gau«.

4. Juli: Independence Day und ein CEO im Stress

Auch Deutschland zählt zu den am meisten betroffenen Zielen der Angreifer, berichtet inzwischen Sophos. Aber das Bundesamt für Sicherheit in der Informationstechnik (BSI) meldet, dass sich lediglich ein betroffener IT-Dienstleister aus Deutschland gemeldet habe. Dessen Kunden seien in Mitleidenschaft gezogen worden. Es handele sich um einige tausend Computer bei mehreren Unternehmen. Nicht ausgeschlossen sei, dass am Montag weitere Firmen mit Beginn der Arbeitswoche Probleme feststellten und ruft dazu auf, dies dem BSI zu melden. Bis Montag werden dies aber nur zwei offiziell tun.

Am Nationalfeiertag stellt sich der Kaseya-CEO Fred Voccola sichtlich mitgenommen in der TV-Sendung Good Morning America des Senders ABC. Man sieht ihm an, dass es kein guter Morgen ist, er bekräftigt aber, man habe Identifiziert, was passiert ist und arbeite rund um die Uhr an einer Lösung. Die US-Medien stürzen sich jedoch auf die politische Dimension, der wirtschaftliche Aspekt wird eher gestreift.

Montags in Deutschland: BSI statt RKI

Das Infektionsgeschehen scheint vorläufig unter Kontrolle. Zumindest was die COVID-Pandemie anbelangt. Statt RKI lesen wir nun mit verstärktem Interesse Verlautbarungen des BSI. Nach derzeitigem Stand seien weltweit mehrere Tausend IT-Geräte verschlüsselt, auch in Deutschland seien mehrere IT-Dienstleister und Unternehmen betroffen, sagt die Behörde am Montag.

»Das Lagebild des BSI zu diesem Vorfall entwickelt sich weiter dynamisch«, heißt es in der offiziellen Mitteilung. Übersetzt dürfte das so viel heißen wie: Wir sammeln Information und kennen das komplette Ausmaß noch nicht. Das BSI als Cyber-Sicherheitsbehörde des Bundes sowie das Nationale Cyber-Abwehrzentrum seien mit dem Vorfall befasst.

Arne Schönbohm, BSIArne Schönbohm, BSI »Der Vorfall zeigt, wie intensiv die globale Vernetzung in der Digitalisierung voranschreitet und welche Abhängigkeiten dabei entstehen«, kommentiert BSI-Präsident Arne Schönbohm. »Bei dem aktuellen Angriff wurde Ransomware über jedes Glied einer Software-Lieferkette ausgerollt. Das zeigt deutlich: Lieferketten müssen auch unter dem Aspekt der IT-Sicherheit in den Fokus rücken. Ransomware ist derzeit als eine der größten Bedrohungen für die IT von Unternehmen und Organisationen einzuschätzen. Bei erfolgreichen Angriffen werden Dienstleistungen und Produktion häufig zum Stillstand gebracht. Die Schäden für Betroffene sind daher oftmals enorm.«

5. Juli, 19:00 Uhr MEZ: Erste Gesundungsschritte

Am Montag um 13:00 Uhr EDT Ortszeit (also 19:00 MEZ) vermeldet endlich: Das »Compromise Detection Tool« kann unter diesem Link heruntergeladen werden. Man vergesse nicht, das Tool stellt lediglich fest, ob Anzeichen für eine Gefährdung (Indicators of Compromise, IOCs) vorhanden sind. Es ist noch kein Problem gelöst.

Kaseya arbeite an der Entwicklung eines Patches für lokale Clients parallel zur Wiederherstellung seines SaaS-Rechenzentrums. Das scheint also offenbar immer noch komplett stillgelegt. Das Patch werde dann zunächst in der SaaS-Umgebung implementiert und getestet, bevor es ausgerollt wird. Erstes Ziel seien »acceptable operations«, also eingeschränkte Dienste.

Das zum Zeitpunkt des Redaktionsschlusses bislang letzte Update wird am Montag um 21:30 Uhr Ortszeit veröffentlicht. Im Helpdesk wurde inzwischen eine Plattform für Entwicklungen und technische Hintergründe eingerichtet

Sechs Tage ohne VSA-Services

Das Ausmaß wird nun mit 60 direkten, also On-Presmises-Kunden angegeben, mit Effekten über MSPs auf etwa 1.500 Systeme weltweit. Es gebe nach wie vor keine Anzeichen dafür, dass SaaS-Kunden betroffen seien. Seit Samstag gebe es keine Informationen über neue Fälle. Innerhalb der Kaseya-Services seien lediglich VSA-Systeme betroffen.

Stand 6. Juli ist das Patch nach Herstellerangaben fertig. Die SaaS-Services sollen an diesem Tag zwischen 16:00 und 19:00 Uhr (Ortszeit) wieder anlaufen. Dann werden weitere 24 Stunden benötigt, um die Patches in dieser gesicherten Umgebung zu Testen, bevor sie an On-Premises-Kunden ausgeliefert werden.

Sollte das gelingen, beträgt die Ausfallzeit der VSA-Services annähernd sechs Tage, in denen Kaseya-Mitarbeiter Rund-um-die-Uhr unter Hochdruck an Lösungen arbeitete und Kunden um ihre Services und Daten bangen mussten. Ein Erlebnis, auf das alle gerne hätten verzichten können, so viel steht fest.

Bitkom: Milliardenschäden durch Attacken

Dr. Bernhard Rohleder, Bitkom (Bild: Bitkom)Dr. Bernhard Rohleder, Bitkom Der Branchenverband BITKOM weist darauf hin, dass dieser Angriff auf die Software-Lieferkette nur die Spitze eines Eisbergs in einer Reihe von Attacken darstellt. Durch Sabotage, Datendiebstahl oder Spionage seien der deutschen Wirtschaft bereits 2019 ein Gesamtschaden von über 100 Milliarden Euro entstanden.

Dazu erklärt Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder: »Mit der jüngsten Attacke auf das IT-Unternehmen Kaseya wird eine besonders perfide Masche genutzt, um Unternehmen in aller Breite zu attackieren. Viele Unternehmen lassen sich von externen IT-Dienstleistern unterstützen. Wird aber die beim Dienstleister eingesetzte Software infiltriert, kann der Angriff quasi beliebig skaliert werden. Die Cyberkriminellen machen sich die Hebelwirkung über den IT-Dienstleister zu Nutze, indem sie die Zielsysteme der Endkundinnen und -kunden verschlüsseln und horrende Lösegelder erpressen.«

Kaseya zur Situation in Deutschland

Übrigens ist auf der deutschen Kaseya-Homepage der Zwischenfall nicht existent. Es gibt zum Zeitpunkt des Redaktionsschluß noch nicht einmal einen Link zum US-News-Poll. Auf Nachfrage von speicherguide.de erhalten wir jedoch teilweise Antworten.

Ronan Kirby, KaseyaRonan Kirby, KaseyaAuch Zahlen für VSA-Endkunden und MSP-Partner, betroffen oder nicht, erhalten wir für die DACH-Region mit Verweis auf Datenschutzrichtlinien nicht. Auch in DACH erwarte man eine Lösung der Probleme binnen 24 bis 48 Stunden, erfahren wir. Dabei hätten im Moment die Kunden oberste Priorität, bevor man sich über Image-Verlust oder gar Schadenersatzforderungen Gedanken mache. »Im Moment setzen wir all unsere Ressourcen für die vollständige Behebung bei jedem betroffenen Kunden ein«, kommentiert Ronan Kirby, President & General Manager, EMEA bei Kaseya. »Das ist unser einziger Fokus im Moment.«

Kirby erklärt weiter, dass Kunden im deutschsprachigen Raum wie überall in Übereinstimmung mit einem Incidence-Response-Plan auf verschiedene Arten gewarnt wurden. Dazu gehörten unter anderem die sofortige Benachrichtigung durch die Kaseya-Zentrale (E-Mail), In-App-Benachrichtigungen, über die die Administratoren sofort erreicht werden, und die sofortige Kontaktaufnahme per Telefon und per Messenger für jeden Kunden durch den zuständigen Kundenbetreuer. Die Maßnahmen, die Kunden daraufhin unternommen haben, wurden durch Kaseya-Systemberichte verifiziert. So wurde sichergestellt, dass alle Kunden die Anweisungen zum Herunterfahren ihrer Systeme befolgt haben.

An den deutschen Markt, Kunden und Partner gerichtet, ergänzt Kirby: »Wir haben eine lange Geschichte in der Region und starke Kunden- und Partnerbeziehungen, nicht nur mit Kaseya VSA, sondern mit der gesamten IT Complete-Plattform. Da unsere Kundenbeziehungen so eng sind, konnten wir schnell auf den kriminellen Angriff reagieren und die Auswirkungen in der Region begrenzen. Dies soll aber den Ernst der Lage für die Betroffenen nicht herunterspielen. Unser deutsches Expertenteam arbeitet weiterhin mit unseren Partnern in der Region zusammen, um sie aufzuklären, zu schützen und Disaster-Recovery-Pläne für das Worst-Case-Szenario zu erstellen, das in letzter Zeit in allen Arten von Unternehmen nur allzu häufig eingetreten ist.«

Update 09. Juli: »This sucks…«

»This sucks« fasst Kaseya-CEO Fred Voccola die Geschehnisse seiner Arbeitswoche nach der Ransomware-Attacke durch Revil zusammen. Die Ransomware-Gruppe hat offenbar seine Forderungen von 70 auf 50 Millionen gesenkt. »Wir sind immer zu Verhandlungen bereit«, verkünden die Cyber-Attacker. Am heutigen Freitag läuft das Ultimatum ab. Gleichzeitig berichten vereinzelt Betroffene aus Deutschland.

Kaseya bleibt um Transparenz bemüht. Mittlerweile wurde die Management-Software VSA als SaaS-Service wieder hochgefahren und aktiviert. Laut Unternehmensaussage waren diese Server auch nicht von der Schadsoftware befallen. Jetzt arbeitet man daran, die Sicherheitslücken der On-Premises-Server zu schließen.

Das bedeutet aber, dass diese komplett neu aufgesetzt werden müssen. Ob die durch den Angriff verschlüsselten Daten jemals wieder reaktiviert werden können, bleibt ungewiss. Der CTO Dan Timpson informiert mittlerweile regelmäßig über technische Fortschritte, die man in Zusammenarbeit mit den Töchterunternehmen Mandiant und FireEye sowie weiteren externen Experten erarbeite.

Fred Voccola, KaseyaFred Voccola, Kaseya»This sucks« fasst Kaseya-CEO Fred Voccola die Geschehnisse seiner Arbeitswoche nach der Ransomware-Attacke durch REvil zusammen und ergänzt: »Es ist uns peinlich«. Ob, wie und wann die Lösegeldforderung beglichen wird, will er nicht kommentieren. In einem Fernsehinterview sagt er: »Ob ja, nein, vielleicht…Ich kann das nicht kommentieren.« Man sei aber mit den US-Behörden (FBI, CISA) und dem Weißen Haus in sehr gutem Kontakt.

Geschäftsgebaren wie im wirklichen Leben

Ein natürlich anonymes Mitglied der Revil-Gruppe dagegen gibt REUTERS ein Interview. »Wir sind immer zu Verhandlungen bereit«, heißt es dort fast staatstragend. Die Nachrichtenagentur berichtet später davon, dass die Gesamtforderung offenbar von 70 auf 50 Millionen US-Dollar reduziert wurde.

Davon ist jedoch im Happy Blog, der Kommunikationsplattform der Bande im Darknet, nichts zu lesen. In Foren wird aber darüber diskutiert, ob eine Forderung in Bitcoin sinnvoll ist, oder nicht alternative Methoden wie Monero besser. Schließlich gelang es Ermittlern, Teile der Bitcoin-Lösegeldzahlung rund um das JBS-Fleisch und die Colonial-Ölpipeline sicherzustellen.

Von Empathie mit den Opfern liest man dort wenig. An vielen Stellen ist es auch eine etwas kryptische Insider-Sprache. Es mutet etwas an wie eine Parallel-Welt. Aus dieser sind parallel zur Zentralforderung an Kaseya auch Erpressungsschreiben an Kunden bekannt, mittlerweile offenbar in Größenordnungen zwischen 40.000 US-Dollar (Endkunden) und 5 Millionen US-Dollar (MSPs) in Bitcoin.

Das Schweigen im deutschen Walde

Laut Ross McKerchar, Chief Information Security Officer bei Sophos, sind

die USA und Deutschland die an den stärksten betroffenen Ländern. Deutschland, weil ein großer, nicht genannter MSP zum Opfer wurde. Mittlerweile geht man davon aus, dass sich drei größere Managed-Service-Provider (MSP) beim BSI gemeldet hätten. Welche dies sind, bleibt unbekannt.

ADN ist einer der größten Vertriebspartner für Kaseya in Deutschland. Der Value-Added-Distributor (VAD) möchte uns jedoch auf Nachfrage nicht verraten, wie viele Kaseya-Kunden oder MSPs er in Deutschland versorgt. Insgesamt werde man sich zu dem Vorfall nicht äußern. Man hält sich, verständlicherweise, größtenteils bedeckt.

Daneben werden einzelne Opfer bekannt. Eher kleine Organisatoren, eher über die lokale Presse. Im Fokus stehen dabei meist die IT-Verantwortlichen und ihre Wochenend-Überstunden, um das Schlimmste abzuwenden. Ein Opfer ist die oberbayerische Gemeinde Grainau. Die Kassensysteme des städtischen Zugspitzbad sind von Cyberattacke betroffen: Der Betrieb wurde mit Strichlisten aufrechterhalten. Der IT-Dienstleister des Kirchenkreises Nordfriesland KIT-Nord hatte offenbar Glück, dass ein Mitarbeiter am späten Freitagnachmittag die Warnung gelesen und rechtzeitig die Stecker gezogen hat.

Betroffen war auch der Betriebsausstatter Berger aus Baden- Württemberg. Geschäftsführer Carsten Gries berichtet im Interview mit Die Zeit darüber, dass man trotz guter Sicherheitsvorkehrungen und funktionierender Backups vier Tage lang lahmgelegt war. Er hält es für wichtig, darüber zu sprechen, damit andere sensibilisiert werden und Unternehmen allgemein voneinander lernen können.

Auch das LKA ermittelt

Mit derselben Transparenz agiert das IT-Systemhaus Bolde aus Kiel. Nach Angaben auf der Unternehmens-Homepage wurden 150 Netzwerke seiner Kunden mit über 1.000 Arbeitsplätzen von der Attacke erwischt. »Trotz aller Vorsichtsmaßnahmen wurden Systeme unserer Kunden verschlüsselt. Nun soll so Lösegeld erpresst werden«, heißt es auf der Firmen-Website. »Das ist der Supergau für uns alle.«

Was dies in der Praxis für Betroffene bedeutet, macht der Aktionsplan des IT-Dienstleisters deutlich:

  • Phase 1 bis Freitag, 09.07.2021 um 22 Uhr: Daten sichern, Systeme prüfen
  • Phase 2 bis Mittwoch, 14.07.2021 um 22 Uhr: Notbetrieb bei betroffenen Kunden herstellen
  • Phase 3 nicht terminierbar: Instandsetzen der restlichen Arbeitsplätze je nach Möglichkeit einer Wiederherstellung vorher infizierter Systeme

Betroffene werden wohl noch Wochen mit den Auswirkungen zu kämpfen haben. Gleichzeitig arbeitet das Systemhaus mit dem LKA Schleswig-Holstein zusammen und warnt in dem Zusammenhang seine Kunden ebenso wie Kaseya vor Trittbrettfahrern, die E-Mails mit neuer Schad-Software versenden.

Kommentare (2)
14.07.2021 - mb

Update III (14. Juli): Drastische Vorwürfe von Mitarbeitern, Kunden und Experten

Das berichtet Bloomberg (bloom.bg/3kd3eya) unter Berufung auf teilweise anonym getätigter Aussagen von Ex-Mitarbeitern:

• Zwischen 2017 und 2020 hätten Software-Entwickler intern wiederholt Sicherheitsmängel angemahnt. Veraltete Codes, zu wenig Sicherheitsupdates zugunsten Sales ,mangelnde Verschlüsselung, ungenügende Password-Management etc.
• Software-Entwickler warnten, VSA sei so problembehaftet, dass es vom Markt müsse
• 2019 hatte ein MA dem Management intern ein 40-seitiges Dossier vorgelegt. Er sei zwei Wochen später entlassen worden.
• 2018 wurden 40 Arbeitsplätze nach Minsk (Belarus) verlagert, für Ex-Mitarbeitern ein Sicherheitsrisiko.
• Marcus Murray, Security-Eexperte Truesec Inc. (SWE): In nur wenigen Stunden habe man „schwerwiegende und ausnutzbare Schwachstellen“ in VSA festgestellt. Der Code enthalte eine Mischung aus Programmiersprachen, sei veraltet und für moderne Remote-IT-Management-Plattformen ungeeignet. „Wir haben viele verschiedene Kategorien nutzbarer Schwachstellen im Kaseya VSA-Produkt gefunden, die auf ein mangelndes Verständnis der grundlegenden Sicherheitsprinzipien in der Softwareentwicklung hinweisen.“
• Laut Ex-Mitarbeitern verwendeten Hacker zw. 2018 und 2019 mindestens 2x die VSA-Software von Kaseya, um Ransomware zu verbreiten. Im Februar und Juni 2019 Ransomware-Hacker mit Namen Gandcrab und Sodinokibi. Die Cybersicherheitsposition des Unternehmens habe sich danach jedoch nicht wesentlich geändert, so die Mitarbeiter.
• Brian Weiss, CEO ITECH Solutions (Calif.), ein Kunde, wurde im März 2018 Opfer von Ransomware über VSA. "Sie haben meinem Account niemanden zugewiesen oder nachverfolgt, um sicherzustellen, dass alles in Ordnung ist. Ich fühlte mich, als wäre ich allein." Anschließend kündigte er seinen Vertrag mit Kaseya.
Updates von
Michael Baumann
Redaktion speicherguide.de

14.07.2021 - mb

Update II (14. Juli): Biden interveniert, REvil taucht ab

Wie die Bloomberg, BBC und andere internationale Medien berichten (z.B. bbc.in/3rbm0dj), gab es am vergangenen Freitag, den 9. Juli, ein Telefonat zwischen den Präsidenten Joe Biden und Wladimir Putin in Sachen Kaseya. Biden sagte im Anschluss, er habe Putin sehr deutlich klar gemacht, dass er Handlungen einfordere ("we expect them to act").

Am 12.Juli nachts verschwinden sämtliche Darknet-Seiten, die der REvil-Gruppe zugeordnet wurden. Darunter auch der berüchtigte „Happy Blog“, der Chat und Leak-Auktionsseiten.

Ein direkter Zusammenhang der Ereignisse ist nicht bestätigt, wenn auch naheliegend.

Es sei noch nicht bekannt, ob die Websites vorübergehend nicht verfügbar sind oder ob die Gruppe – oder Strafverfolgungsbehörden – ihre Websites offline genommen haben. „Es ist noch zu früh, um das zu sagen, aber ich habe noch nie die gesamte Infrastruktur so offline gesehen“, kommentiert Allan Liska, Senior Threat Analyst beim Cybersicherheitsunternehmen Recorded Future. (siehe bit.ly/3hfx3e1)