Kaseya Supply-Chain-Angriff trifft fast 40 Service-Provider mit REvil-Ransomware

  • Die Bedrohungsakteure, die hinter der REvil-Ransomware-Bande stecken, scheinen die Ransomware über ein Update für die IT-Management-Software von Kaseya verbreitet zu haben und trafen damit rund 40 Kunden weltweit. Dies ist ein Beispiel für einen weit verbreiteten Ransomware-Angriff über die Lieferkette.

    “Gegen Mittag (EST/US) am Freitag, den 2. Juli 2021, erfuhr das Incident-Response-Team von Kaseya von einem potenziellen Sicherheitsvorfall, der unsere VSA-Software betraf”, so Fred Voccola, CEO des Unternehmens, in einer am späten Freitag veröffentlichten Erklärung.

    [Blocked Image: https://thehackernews.com/images/-Gh8_xBK-wA0/YMt1oNE4WUI/AAAAAAAA4Qw/I2QexYtbSv8qi2N3tu2MxT1hshRe7YwwwCLcBGAsYHQ/s728-e100/free-ad-8-728.png]

    Nach dem Vorfall sagte das IT- und Sicherheitsmanagement-Unternehmen, dass es sofortige Schritte unternommen hat, um unsere SaaS-Server als Vorsichtsmaßnahme herunterzufahren, zusätzlich zu der Benachrichtigung seiner On-Premises-Kunden, ihre VSA-Server herunterzufahren, um zu verhindern, dass sie kompromittiert werden.

    [Blocked Image: https://thehackernews.com/images/-KeJwf91bWiY/YOAXiLaxy3I/AAAAAAAADFE/jIkCafUJc8MYrVAp-tUvl0uhpnzgMFpoQCLcBGAsYHQ/s728-e1000/REvil-ransomware.jpg]

    Voccola sagte auch, dass das Unternehmen die Quelle der Schwachstelle identifiziert hat und dass es einen Patch vorbereitet, um die anhaltenden Probleme zu entschärfen. In der Zwischenzeit beabsichtigt das Unternehmen, alle VSA-Server vor Ort, SaaS und gehostete VSA-Server herunterzufahren, bis es sicher ist, den Betrieb wieder aufzunehmen.

    Laut Mark Loman, Malware-Analyst bei Sophos, nutzt der branchenweite Angriff Kaseya VSA, um eine Variante der REvil-Ransomware in die Umgebung des Opfers einzuschleusen, wobei die REvil-Binärdatei über eine gefälschte Windows Defender-App nachgeladen wird, um die Dateien des Opfers zu verschlüsseln.

    [Blocked Image: https://thehackernews.com/images/-QpWUO_ODObE/YLy9ODqjOgI/AAAAAAAA4BU/EiQ-B1MZTpMSF3ICQ5utVTrmnYrAXONgQCLcBGAsYHQ/s300-e100/ransomware_300.jpg]

    Die Angriffskette beinhaltet auch Versuche, Microsoft Defender Real-Time Monitoring über PowerShell zu deaktivieren, fügte Loman hinzu. Die trojanisierte Software wird in Form eines “Kaseya VSA Agent Hot-fix” verteilt, so Huntress Labs in einem Reddit-Beitrag, der die Funktionsweise des Einbruchs beschreibt.

    [Blocked Image: https://thehackernews.com/images/-1uyzpuINkqY/YOAYkr2sDUI/AAAAAAAADFM/aM9HX5fAKuQsrTFaACXAFpRN9HiUIaZkwCLcBGAsYHQ/s728-e1000/malware.jpg]

    Die Forscher stellten fest, dass acht Managed Service Provider (MSPs), also Unternehmen, die IT-Dienstleistungen für andere Unternehmen erbringen, von dem Angriff betroffen waren. Etwa 200 Unternehmen, die von diesen MSPs betreut werden, wurden von Teilen ihres Netzwerks ausgesperrt, so Huntress Labs.

    Während sich die Ransomware-Krise immer weiter ausbreitet, haben sich MSPs als lukratives Ziel herauskristallisiert, vor allem weil ein erfolgreicher Einbruch den Zugang zu mehreren Kunden öffnet und sie alle auf einmal angreifbar macht.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com