Schalten Sie Ihr Herz aus”: Kaseya VSA Ransomware trifft MSPs in einem lebenswichtigen Organ

  • Die Ransomware-Attacken von Kaseya treffen die Software im Zentrum des Unternehmens: die Remote-Monitoring- und Management-Plattform (RMM). (“Server room” von torkildr ist lizenziert unter CC BY-SA 2.0)

    Die Flut von Ramsomware-Angriffen, die am Freitag begann und auf lokale Kaseya VSA-Anwendungen abzielte, ist für Anbieter von Managed Services besonders beängstigend, da sie Software im Zentrum des Unternehmens angreifen: die Remote-Monitoring- und Management-Plattform (RMM).

    In jedem anderen Fall wäre ein RMM von zentraler Bedeutung für die Wiederherstellung nach einem Angriff. Sie können unersetzliche Komponenten von Incident-Response-Plänen sein.

    “Was ich glaube, dass viele Leute hier übersehen, ist, dass diese MSPs diese Systeme für die Fernadministration verwenden. Es ist die einzige Möglichkeit, die sie haben, um das System zu verwalten. Sie haben keine Ausweichmöglichkeit. Es gibt keinen Notfallplan für sie”, sagt Jake Williams, Chief Technology Officer von Rendition Infosec und dem Incident-Response-Unternehmen BreachQuest.

    Das Ausmaß des Ransomware-Ausbruchs, bei dem Kaseya VSA zum Einsatz kommt, ist noch unklar, aber die Zahl der betroffenen Kunden könnte erheblich sein. VSA ist sehr beliebt – Williams bezeichnete es als “das Coca-Cola” des RMM – daher ist die potenzielle Gefährdung ziemlich groß. Sie sagten, dass Kaseya die Kunden vor Ort schnell angewiesen hat, die Server abzuschalten, um die Gefährdung einzuschränken. Während Kayesa am Freitag sagte, dass es glaubt, dass weniger als 40 MSPs infiziert wurden, sagte ein einzelner Sicherheitsanbieter, Huntress Labs, dass ihm mehr als 20 Fälle von Infektionen bekannt sind. Tausende von Kunden dieser MSPs waren gefährdet, wobei Huntress von Lösegeldforderungen in Höhe von bis zu 5 Millionen Dollar berichtete.

    Danny Jenkins, CEO der MSP-Zero-Trust-Lösung ThreatLocker, sagte, dass die Sicherheitssoftware die Dateien, die mit dem Angriff in Verbindung stehen, bei “30 bis 40 Prozent” der Clients, die Kaseya VSA vor Ort einsetzen, angezeigt hat.

    VSA ist nicht die erste IT-Management-Software, die für einen Ransomware-Angriff verwendet wurde, und es ist auch nicht der erste Hack in der Lieferkette, der nachgelagerte Auswirkungen hat. SolarWinds wäre ein Beispiel für beides.

    “Es ist immer wieder passiert”, so Jenkins. “Ich habe mit einem MSP gesprochen, der noch vor drei Wochen einen Vertrag mit Kaseya hatte, weil er gerade einen anderen Anbieter verlassen hatte, weil er über diesen kompromittiert worden war.”

    Während die jüngste Flut von Angriffen auf Supply-Chain- und IT-Management-Software an sich schon ein beunruhigender Trend ist, so James Shank, Chief Architect of Community Services bei Team Cymru und Leiter der Diskussionsgruppe “Worst Case Scenarios” bei der jüngsten Ransomware-Taskforce mit mehreren Beteiligten, macht die zentrale Bedeutung von RMM-Software VSA zu einem einzigartigen Fall.

    “RMM ist das Lebenselixier dieser Unternehmen”, stimmte Jenkins zu. “Wenn Kaseya sagt, dass VSA abgeschaltet werden soll, ist das so, als würde man sagen: Schalten Sie Ihr Herz aus. Es wird Sie umbringen. MSPs sagen, wenn sie es abschalten, schalten sie im Grunde das Licht aus.”

    Kaseya hat mitgeteilt, dass sie die bei den Angriffen genutzte Schwachstelle identifiziert haben und bald einen Patch herausgeben werden. In der Zwischenzeit empfehlen sie weiterhin, VSA abzuschalten.

    Im weiteren Sinne warnt Shank, dass RMM weiterhin ein Ziel sein wird, und MSPs und ihre Kunden sollten darauf vorbereitet sein.

    “Die Planung, dass kritische Plattformen nicht verfügbar sind, muss Teil des Toolkits werden. Denn insbesondere mit der zunehmenden Verbreitung von Ransomware – und die ist heute sicherlich recht häufig – ist die Verfügbarkeit eines bestimmten Systems keine Garantie”, so Shank.

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com