REvil verwendet 0-Day in Kaseya Ransomware-Attacke, fordert 70 Millionen Dollar Lösegeld

  • Inmitten des massiven Ransomware-Angriffs auf die Lieferkette, der am Freitag eine Infektionskette auslöste, die Tausende von Unternehmen kompromittierte, sind neue Details darüber aufgetaucht, wie die berüchtigte, mit Russland verbundene REvil-Cybercrime-Bande den beispiellosen Hack durchgeführt haben könnte.

    Das niederländische Institute for Vulnerability Disclosure (DIVD) hat am Sonntag bekannt gegeben, dass es Kaseya vor einer Reihe von Zero-Day-Schwachstellen in seiner VSA-Software (CVE-2021-30116) gewarnt hat, die seiner Meinung nach für die Verbreitung von Ransomware ausgenutzt werden. Die Non-Profit-Organisation sagte, dass das Unternehmen gerade dabei war, die Probleme im Rahmen einer koordinierten Offenlegung der Sicherheitslücken zu beheben, als die Angriffe am 2. Juli stattfanden.

    Weitere Einzelheiten über die Schwachstellen wurden nicht mitgeteilt, aber der DIVD-Vorsitzende Victor Gevers deutete an, dass die Zero-Days trivial auszunutzen sind. Laut ESET sollen mindestens 1.000 Unternehmen von den Angriffen betroffen gewesen sein, wobei Opfer in mindestens 17 Ländern identifiziert wurden, darunter Großbritannien, Südafrika, Kanada, Argentinien, Mexiko, Indonesien, Neuseeland und Kenia.

    [Blocked Image: https://thehackernews.com/images/-OoudkWOwaI4/YMt1nG7ZqHI/AAAAAAAA4Qo/zhvoTujBMzIboAsA28Ekt3IPPv7HQZb4ACLcBGAsYHQ/s728-e100/free-ad-7-728.png]

    Kaseya VSA ist eine Cloud-basierte IT-Management- und Fernüberwachungslösung für Managed Service Provider (MSPs). Sie bietet eine zentrale Konsole zur Überwachung und Verwaltung von Endpunkten, zur Automatisierung von IT-Prozessen, zur Bereitstellung von Sicherheits-Patches und zur Kontrolle des Zugriffs über Zwei-Faktor-Authentifizierung.

    REvil fordert 70 Millionen Dollar Lösegeld

    REvil (auch bekannt als Sodinokibi) ist seit April 2019 aktiv und ist am besten dafür bekannt, Anfang letzten Monats 11 Millionen US-Dollar vom Fleischverarbeiter JBS zu erpressen, wobei das Ransomware-as-a-Service-Geschäft für etwa 4,6 % der Angriffe auf den öffentlichen und privaten Sektor im ersten Quartal 2021 verantwortlich ist.

    [Blocked Image: https://thehackernews.com/images/-oQwtfWFbXgk/YOKQt59eU4I/AAAAAAAADFs/G_R8XpMYg5gFxQr92DRspWyHSHGoq2X5QCLcBGAsYHQ/s728-e1000/revil-ransomware-blog.jpg]

    Die Gruppe fordert nun eine Lösegeldzahlung in Höhe von 70 Millionen Dollar, um einen universellen Entschlüsseler zu veröffentlichen, der alle Systeme entsperren kann, die durch dateiverschlüsselnde Ransomware lahmgelegt wurden.

    “Am Freitag (02.07.2021) gab es einen Angriff auf MSP-Anbieter. Mehr als eine Million Systeme wurden infiziert. Wenn jemand über einen universellen Entschlüsseler verhandeln möchte – unser Preis ist 70.000.000$ in BTC und wir werden öffentlich einen Entschlüsseler veröffentlichen, der die Dateien aller Opfer entschlüsselt, so dass jeder in der Lage sein wird, sich in weniger als einer Stunde von dem Angriff zu erholen”, postete die REvil-Gruppe auf ihrer Dark-Web-Datenleck-Seite.

    [Blocked Image: https://thehackernews.com/images/-yTpczL_Mlkc/YOKQZtNgobI/AAAAAAAADFk/Uu_gdoY-GkUBxnTqgzgX037GR1x8db-0ACLcBGAsYHQ/s728-e1000/ransomware-attack.jpg]

    Kaseya, das die Hilfe von FireEye bei der Untersuchung des Vorfalls in Anspruch genommen hat, sagte, dass es beabsichtigt, “unsere SaaS-Rechenzentren nach und nach wieder online zu bringen, beginnend mit unseren Rechenzentren in der EU, in Großbritannien und im asiatisch-pazifischen Raum, gefolgt von unseren nordamerikanischen Rechenzentren.”

    Auf den VSA-Servern vor Ort muss vor dem Neustart ein Patch installiert werden, so das Unternehmen, das den Fix gerade für die Veröffentlichung am 5. Juli vorbereitet.

    CISA gibt einen Hinweis heraus

    Die Entwicklung hat die U.S. Cybersecurity and Infrastructure Security Agency (CISA) dazu veranlasst, ein Advisory herauszugeben, in dem Kunden dringend aufgefordert werden, das von Kaseya zur Verfügung gestellte Compromise Detection Tool herunterzuladen, um etwaige Indikatoren für eine Kompromittierung (Indicators of Compromise, IoC) zu identifizieren, eine Multi-Faktor-Authentifizierung zu aktivieren, die Kommunikation mit Remote-Monitoring- und -Management-Funktionen (RMM) auf bekannte IP-Adresspaare zu beschränken und die administrativen Schnittstellen von RMM hinter einem virtuellen privaten Netzwerk (VPN) oder einer Firewall in einem dedizierten administrativen Netzwerk zu platzieren.

    [Blocked Image: https://thehackernews.com/images/-OSV4PB8Gs_s/YLy9M_8zkrI/AAAAAAAA4BE/n1p4_TGqv8w7u-Ha-YBjdamOZ8K2RHL_ACLcBGAsYHQ/s300-e100/privileged_300.jpg]

    “Weniger als zehn Organisationen [across our customer base] scheinen betroffen gewesen zu sein, und die Auswirkungen scheinen sich auf Systeme zu beschränken, auf denen die Kaseya-Software läuft”, sagte Barry Hensley, Chief Threat Intelligence Officer bei Secureworks, gegenüber The Hacker News per E-Mail.

    “Wir haben keine Hinweise darauf gesehen, dass die Bedrohungsakteure versucht haben, sich seitlich zu bewegen oder die Ransomware über kompromittierte Netzwerke zu verbreiten. Das bedeutet, dass Unternehmen mit einem breiten Einsatz von Kaseya VSA wahrscheinlich deutlich stärker betroffen sind als solche, die es nur auf einem oder zwei Servern einsetzen.”

    Durch die Kompromittierung eines Softwareanbieters, um MSPs ins Visier zu nehmen, die wiederum Infrastruktur- oder gerätebezogene Wartung und Support für andere kleine und mittelständische Unternehmen bereitstellen, unterstreicht diese Entwicklung einmal mehr, wie wichtig es ist, die Software-Lieferkette zu sichern, und verdeutlicht gleichzeitig, wie feindliche Agenten ihre finanziellen Motive weiter vorantreiben, indem sie die beiden Bedrohungen von Lieferkettenangriffen und Ransomware kombinieren, um Hunderte von Opfern auf einmal anzugreifen.

    “MSPs sind hochwertige Ziele – sie haben große Angriffsflächen, was sie zu saftigen Zielen für Cyberkriminelle macht”, sagt Kevin Reed, Chief Information Security Officer bei Acronis. “Ein MSP kann die IT für Dutzende bis Hunderte von Unternehmen verwalten: Statt 100 verschiedene Unternehmen zu kompromittieren, müssen die Kriminellen nur einen MSP hacken, um Zugang zu allen zu erhalten.”

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com