Update: Kaseya dementiert, Lösegeld bezahlt zu haben

Update vom 26.7.2021: Kaseya hat den Ransomware-Angreifern kein Lösegeld bezahlt. Dies teilt das Unternehmen auf seiner Website mit. Jedes Unternehmen müsse selbst entscheiden, ob es Lösegeld bezahlen wolle. Nach Rücksprache habe man sich gegen Verhandlungen mit den Kriminellen entschieden, heisst es weiter.

Unbeantwortet lässt das Unternehmen die Frage, wie es an das Datenentschlüsselungstool gelangt war. Dieses funktioniere 100 Prozent effektiv, betonte das Unternehmen erneut und ermutigte alle beim Ransomware-Angriff in Mitleidenschaft gezogenen Kunden, sich zu melden, um den Schlüssel zu erhalten.

Update vom 26.7.2021: Die Opfer der Ransomware-Attacke auf die Firma Kaseya dürfen aufatmen. Das Unternehmen hat damit angefangen, ein Entschlüsselungstool für die beim Angriff verschlüsselten Daten zu verteilen, berichtet der "Spiegel" unter Berufung auf eine Unternehmensmitteilung. Demnach funktioniere dieser Universalschlüssel auch bei allen Kaseya-Kunden sowie deren Kunden, die durch den Verschlüsselungstrojaner in Mitleidenschaft gezogen wurden.

Weiter teilt Kaseya mit, man habe den Schlüssel "von vertrauenswürdigen Dritten bekommen", wie der Spiegel zitiert. Das Unternehmen lässt offen, woher das Tool genau kommt und ob dafür Geld geflossen war.

Update vom 14. Juli 2021: Die mit Russland in Verbindung stehende Ransomware-Gruppe REvil ist scheinbar aus dem Dark Web verschwunden. Dort unterhielt sie mehrere Seiten, die ihre Aktivitäten dokumentieren. Darunter auch eine, die "Happy Blog" genannt wird, wie Bloomberg berichtet. Es sei noch nicht bekannt, ob die Seiten vorübergehend abgeschaltet worden seien oder ob die Gruppe selbst oder die Strafverfolgungsbehörden ihre Webseiten offline genommen hätten.

"Es ist noch zu früh, um das zu sagen, aber ich habe noch nie gesehen, dass ihre gesamte Infrastruktur so offline ist", schreibt Allan Liska, Senior Threat Analyst bei der Cybersecurity-Firma Recorded Future auf Twitter. "Ich kann nichts von ihrer Infrastruktur online finden. Ihre Erpressungsseite ist weg, alle ihre Zahlungsportale sind offline, ebenso wie ihre Chat-Funktion." Die Sites seien demnach bereits am 13. Juli offline gegangen. Bloomberg bringt dies in Verbindung mit einer Intervention des US-Präsidenten Joe Biden, der vor einigen Tagen den russischen Präsidenten Wladimir Putin drängte, gegen die Hacker in seinem Land vorzugehen. Dies nachdem der US-Webdienstleister Kaseya angegriffen worden war, was zu weltweiten Ausfällen von Websites führte.

REvil wurde ausserdem bereits beschuldigt, hinter einem Angriff auf die US-Grossmetzgerei JBS zu stecken, die schliesslich 11 Millionen US-Dollar Lösegeld an die Gruppe zahlte. Mehr dazu lesen Sie hier.

Update vom 13. Juli 2021: Kaseya bringt Patch für Sicherheitslücke

Kaseya hat einen Patch für die On-Premise-Version der VSA-Software veröffentlich. Wie "Silicon" schreibt, soll diese die Sicherheitslücke beheben, durch die Cyberkriminelle die Ransomware REvil eingeschleust hatten.

Der Patch steht auf der Website von Kaseya bereit. In den Versionshinweisen ist von drei Anfälligkeiten die Rede. So habe die Software unter Umständen Anmeldedaten preisgegeben sowie die Umgehung einer Zwei-Faktor-Authentifizierung und Cross-Site-Scripting erlaubt.

Während der Angriff in erster Linie die On-Premise-Version betraf, war zwischenzeitlich auch die SaaS-Version der Software nicht verfügbar. Mittlerweile habe Kaseya mit der Wiederherstellung der Dienste begonnen, am Montag seien bereits 95 Prozent der Cloud-Kunden wieder online gewesen.

Gemäss "Silicon" müssen Kunden bei der ersten Anmeldung nach Installation des Patches ihr Passwort ändern. Einige veraltete Funktionen der Software seien ausserdem entfernt worden.

Originalmeldung vom 12. Juli 2021: Kaseya hat Sicherheitslücke gekannt

Ein Ransomware-Angriff auf den amerikanischen IT-Dienstleister Kaseya hatte Anfangs Juli massive Auswirkungen auf Unternehmen weltweit. Die Cyberkriminellen schleusten die Ransomware REvil durch das VSA-Remote-Management-Tool in Unternehmensnetzwerke ein. Die Hacker fordern ein Lösegeld von 70 Millionen Dollar, um die Systeme zu befreien.

Laut verschiedenen Medien, darunter "The Register", wusste der amerikanische Hersteller Kaseya bereits von einer der Sicherheitslücken in seinem Tool, die von den Angreifern ausgenutzt wurde. Das "Dutch Institute for Vulnerability Disclosure" (DIVD CSIRT) habe im April sieben Sicherheitslücken gemeldet. Vier davon seien rasch behoben worden. Eine der drei verbliebenen Lücken nutzten die Cyberkriminellen als Angriffsvektor, bevor Kaseya sie beheben konnte.

Laut einer Analyse von "Tenable" nutzten Angreifer drei Zero-Day-Schwachstellen aus, die es ihnen erlaubten, eine beliebige Datei herunterzuladen, den Code zu injizieren und die Authentifizierung zu umgehen. Letzteres ist eines der Probleme, die vom DIVD CSIRT gemeldet wurden.

In seinem Blog lobt das niederländische Institut die Arbeit von Kaseya: "Nach dieser Krise wird sich die Frage stellen, wer die Schuld daran trägt. Für unseren Teil möchten wir erwähnen, dass Kaseya sehr kooperativ war. Sobald Kaseya auf die von uns gemeldeten Schwachstellen aufmerksam wurde, standen wir in ständigem Kontakt und kooperierten mit ihnen. Wenn Elemente in unserem Bericht unklar waren, stellten sie die richtigen Fragen. In ähnlicher Weise wurden partielle Patches mit uns geteilt, um ihre Wirksamkeit zu validieren. Während des gesamten Prozesses hat Kaseya die Bereitschaft gezeigt, ein Maximum an Aufwand und Initiative in diese Angelegenheit zu stecken, sowohl um dieses Problem zu lösen als auch um sicherzustellen, dass ihre Kunden Fixes erhalten. Sie haben ein echtes Engagement gezeigt, das Richtige zu tun. Leider wurden wir im Endspurt von REvil geschlagen, da sie die Schwachstellen ausnutzen konnten, bevor die Kunden die Patches überhaupt anwenden konnten."

Geschwindigkeit und Ressourcen

Die Spezialisten von Kaseya wurden also überrumpelt. Es ist keine Überraschung, dass Cybersicherheit oft darauf hinausläuft, wer von den böswilligen und wohlwollenden Spezialisten am schnellsten eine Schwachstelle entdeckt - für Erstere, um sie auszunutzen und für Letztere, um sie zu patchen.

Und manchmal reicht auch eine schnelle Behebung von Sicherheitslücken nicht aus: Wenn es sich nicht um SaaS, sondern um installierte Software handelt, muss man immer noch auf die Bereitstellung von Patches durch die Benutzer warten. Wir erinnern uns an die DearCry-Ransomware-Angriffe, die in diesem Frühjahr Unternehmen trafen, bevor sie den Patch auf ihren Exchange-Servern installiert hatten.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.