Kaseya VSA-Kriminelle haben bei Lösegeldverhandlungen möglicherweise “waffenfähige” Links eingesetzt

  • Ein Mann geht durch eine Serverfarm in der Schweiz. Ransomware-Angriffe, die eine Zero-Day-Lücke im lokalen Kaseya VSA Remote-IT-Management-Produkt ausnutzen, begannen am Freitagnachmittag und trafen Dutzende von Managed Service Providern und Tausende ihrer Kunden. Es ist noch nicht bekannt, welche MSPs im Einzelnen angegriffen wurden. (Amy Sacka für Microsoft)

    In einem Update vom Samstag zu den laufenden VSA-Ransomware-Angriffen warnte Kaseya die Opfer davor, auf Links zu klicken, die in der Kommunikation mit den Ransomware-Betreibern gesendet wurden.

    “Wir wurden von unseren externen Experten darauf hingewiesen, dass Kunden, die von Ransomware betroffen waren und eine Kommunikation von den Angreifern erhalten haben, nicht auf Links klicken sollten – sie könnten bewaffnet sein”, schrieb das Unternehmen auf seiner Website.

    Ransomware-Angriffe, die eine Zero-Day-Lücke im lokalen IT-Remote-Management-Produkt Kaseya VSA ausnutzen, begannen am Freitagnachmittag und betrafen Dutzende von Managed-Service-Providern und Tausende dieser MSP-Kunden.

    Huntress Labs, eine der Firmen, die die Untersuchung des Angriffs anführt, sagt, dass sie allein mehr als 20 MSP-Kunden gesehen hat.

    “Wir können nur kommentieren, was wir beobachtet haben, nämlich etwa 20 MSPs, die über 1.000 kleine Unternehmen unterstützen, aber diese Zahl wächst schnell”, sagte Huntress-Forscher John Hammond am Freitagabend.

    In einer frühen Stellungnahme sagte Kaseya, dass es glaubt, dass weniger als 40 Kunden insgesamt betroffen sind. Das Update am Samstagmorgen nannte keine Zahl, war aber ähnlich optimistisch hinsichtlich des Umfangs eines Angriffs, bei dem ein einzelner Anbieter 20 Instanzen gesehen hatte.

    “Aufgrund der schnellen Reaktion unserer Teams glauben wir, dass sich der Angriff auf eine sehr kleine Anzahl von On-Premises-Kunden beschränkt hat”, schrieb das Unternehmen.

    Die Ransomware wird von einer REvil-Tochtergruppe betrieben.

    “Dies fühlt sich an wie das Alptraumszenario für einen MSP, bei dem die RMM-Lösung, die von Haus aus administrativen Zugriff auf alle ihre Klienten und Kunden hat, kompromittiert und zum Versand von Ransomware missbraucht wird”, fügte Hammond heute Morgen hinzu. Wir sprechen oft davon, dass MSPs das ‘Mutterschiff’ für KMUs und Organisationen sind, aber wenn Kaseya betroffen ist, haben bösartige Akteure gerade alle Mutterschiffe kompromittiert… möglicherweise.”

    Es ist ungewöhnlich, dass Ransomware-Betreiber Zugang zu einem Zero-Day haben, insbesondere bei einem so weit verbreiteten Produkt wie Kaseya.

    “Jeder konzentriert sich auf die [number of] betroffenen Kunden, aber wenn ich diesen Satz richtig lese, hat REvil eine 0-Day-Schwachstelle genutzt, um Zugang zu @KaseyaCorp und seinen Kunden zu erhalten. Das ist riesig. Ich glaube nicht, dass ich schon einmal gesehen habe, dass eine Ransomware-Bande eine 0-Day-Schwachstelle in einem Angriff verwendet hat”, schrieb Recorded Future CSIRT Allan Liska auf Twitter.

    Diese Geschichte entwickelt sich. Schauen Sie für Updates wieder vorbei.

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com