Die Kaseya VSA-App wird möglicherweise aktiv angegriffen, da das Unternehmen seine Kunden zum Herunterfahren auffordert

  • Es ist derzeit unklar, welcher spezifische Managed Service Provider (und welcher seiner Serverräume) von einem Angriff auf die VSA Unified Remote Monitoring & Management Software von Kaseya betroffen ist. (Serverraum, fotografiert von Acirmandello/CC BY-SA 4.0)

    Die Remote-IT-Verwaltungs- und Überwachungsanwendung VSA wird möglicherweise aktiv von einer Ransomware-Gruppe angegriffen, die heute mehrere Managed Service Provider getroffen hat. Der Anbieter Kaseya empfiehlt Kunden, VSA-Server bis auf weiteres “SOFORT abzuschalten”.

    “Wir haben einen potenziellen Angriff auf die VSA erlebt, der seit heute 14:00 Uhr EDT auf eine kleine Anzahl von On-Premise-Kunden beschränkt ist”, schreibt das Unternehmen auf seiner Webseite. Wir sind gerade dabei, die Ursache des Vorfalls zu untersuchen, aber wir empfehlen Ihnen, Ihren VSA-Server SOFORT herunterzufahren, bis Sie weitere Informationen von uns erhalten.”

    “Es ist wichtig, dass Sie dies sofort tun, denn eines der ersten Dinge, die der Angreifer tut, ist das Abschalten des administrativen Zugriffs auf den VSA”, sagte Keyasa.

    Der offizielle Account von Huntress Labs hat seine Erfahrungen mit den Angriffen in einem Reddit-Thread live gebloggt. Um ca. 15:15 Uhr sagte Huntress in ihren Beiträgen, dass sie von 200 Unternehmen wussten, die über acht MSPs verschlüsselt wurden.

    Huntress hat forensische Beweise aufgedeckt, dass die Hacker ein REvil-Tochterunternehmen sind.

    Es war eine “All-Hands-on-Deck”-Entwicklung, um zu reagieren und die Community zu sensibilisieren”, sagte der Huntress-Forscher John Hammond in einem per E-Mail an SC Media gesendeten Statement.

    Er fügte hinzu, dass es zwar nicht definitiv ist, dass Keseya VSA der ursprüngliche Angriffsvektor ist, aber es ist eine Gemeinsamkeit zwischen den betroffenen MSPs. Hammond sagte, dass ihm derzeit vier MSPs bekannt sind, bei denen alle Angriffe auf Kunden verschlüsselt wurden.

    Huntress wurde zum ersten Mal um 12:35 Uhr auf die Ransomware aufmerksam gemacht und hat mit Keyasa zusammengearbeitet, die laut Hammond reaktionsschnell waren.

    Hammond beschrieb den Weg des Angriffs wie folgt: “gent.crt wird von der Kaseya VSA abgelegt. Sie wird dann mit certutil dekodiert, um agent.exe auszuschneiden, und innerhalb von agent.exe hat sie MsMpEng.exe und mpsvc.dll eingebettet. Die legitime ausführbare Datei von Windows Defender wurde zum Side-Loading einer bösartigen DLL verwendet.”

    “Es handelt sich bei allen Opfern um die exakt gleiche Binärdatei”, fügte er hinzu.

    Dies ist eine sich entwickelnde Geschichte. Schauen Sie für Updates zurück.

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com