Kaseya VSA-Systeme unter aktivem Angriff, da das Unternehmen seine Kunden zum Herunterfahren auffordert

  • Es ist derzeit unklar, welcher spezifische Managed Service Provider (und welcher seiner Serverräume) von einem Angriff auf die VSA Unified Remote Monitoring & Management Software von Kaseya betroffen ist. (Serverraum, fotografiert von Acirmandello/CC BY-SA 4.0)

    Vor-Ort-Installationen der Remote-IT-Management- und Überwachungsanwendung VSA wurden im Laufe des Freitags von einer Ransomware-Gruppe angegriffen, die mehrere Managed-Service-Provider attackierte. Der Hersteller Kaseya empfiehlt Kunden, VSA-Server bis auf weiteres “SOFORT abzuschalten”.

    Später gibt der CEO bekannt, dass eine bei den Angriffen genutzte Schwachstelle identifiziert wurde und ein Patch in Kürze zur Verfügung steht.

    “Wir sind dabei, die Ursache des Vorfalls mit großer Vorsicht zu untersuchen, aber wir empfehlen, dass Sie Ihren VSA-Server SOFORT herunterfahren, bis Sie weitere Informationen von uns erhalten”, schrieb das Unternehmen am Freitagnachmittag auf seiner Webseite. “Es ist wichtig, dass Sie dies sofort tun, denn eines der ersten Dinge, die der Angreifer tut, ist das Abschalten des administrativen Zugriffs auf den VSA”, sagte Keyasa, der zu diesem Zeitpunkt keinen weiteren Kommentar abgeben wollte.

    Der offizielle Account von Huntress Labs hat seine Erfahrungen mit den Angriffen in einem Reddit-Thread live gebloggt. Um ca. 15:15 Uhr sagte Huntress in ihren Beiträgen, dass sie von 200 Unternehmen wussten, die über acht MSPs verschlüsselt wurden.

    Huntress sagt, dass sie in einem Fall eine Lösegeldforderung von 5 Millionen US-Dollar gesehen haben, obwohl das Unternehmen darauf hinweist, dass dies möglicherweise nicht für alle Opfer gleich ist. Huntress und Sophos haben beide berichtet, dass es sich bei den Hackern um eine mit REvil verbundene Gruppe handelt.

    “Wir haben alle Hände voll zu tun, um zu reagieren und die Community zu sensibilisieren”, sagte Huntress-Forscher John Hammond in einer per E-Mail an SC Media gesendeten Erklärung.

    Hammond sagte, dass Huntress zum ersten Mal um 12:35 Uhr auf die Ransomware aufmerksam gemacht wurde und mit Keyasa zusammengearbeitet hat, die laut Hammond sehr reaktionsschnell waren.

    In einem Brief an die Medien sagte Fred Voccola, CEO von Kaseya, am Freitagabend, dass das Unternehmen “mittags” – etwa zur gleichen Zeit wie Huntress – auf die Angriffe aufmerksam gemacht wurde und dass die Hacker eine Schwachstelle nur im On-Premises-Produkt gefunden haben. Kaseya hat jedoch die Cloud-Version von VSA als Vorsichtsmaßnahme heruntergefahren. Voccola sagte, dass das SaaS-Produkt innerhalb von 24 Stunden nach weiteren Tests wiederhergestellt werden würde, um sicherzustellen, dass der Dienst sicher wiederhergestellt werden kann.

    “Wir glauben, dass wir die Quelle der Schwachstelle identifiziert haben und bereiten einen Patch vor, um diese für unsere On-Premises-Kunden zu entschärfen, der gründlich getestet werden wird.Wir werden diesen Patch so schnell wie möglich veröffentlichen, damit unsere Kunden den Betrieb wieder aufnehmen können”, sagte er.

    Voccola sagte, dass “weniger als 40” Kunden betroffen waren, obwohl die Kunden in diesem Fall die MSPs sind, von denen jeder viele eigene Kunden hat. Huntress sagte, dass mehrere MSPs, mit denen es zusammenarbeitet, alle Kundendaten verschlüsselt haben.

    Später am Abend zweifelte Huntress jedoch die Zahl von weniger als 40 an.

    “Wir können nur kommentieren, was wir beobachtet haben, nämlich etwa 20 MSPs, die über 1.000 kleine Unternehmen unterstützen, aber diese Zahl wächst schnell”, sagte Hammond.

    Huntress hat nur Einblicke in seine eigenen Kunden, was darauf hindeutet, dass andere Sicherheitsfirmen ähnliche Zahlen und Expansionsraten sehen könnten.

    Kaseya arbeitet mit dem FBI und der CISA zusammen und hat interne und externe Experten für die Reaktion auf Vorfälle engagiert.

    Hammond beschrieb den Weg des Angriffs wie folgt: “gent.crt wird von der Kaseya VSA abgelegt. Sie wird dann mit certutil dekodiert, um agent.exe auszuschneiden, und innerhalb von agent.exe hat sie MsMpEng.exe und mpsvc.dll eingebettet. Die legitime ausführbare Datei von Windows Defender wurde zum Side-Loading einer bösartigen DLL verwendet.”

    “Es handelt sich bei allen Opfern um die exakt gleiche Binärdatei”, fügte er hinzu.

    Sophos hat Indikatoren für die Kompromittierung in seinem Blog veröffentlicht.

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com