Fallout des Kaseya-Angriffs: CISA, FBI bieten Anleitungen

  • Nach einem dreisten Ransomware-Angriff durch die Cybergang REvil bieten CISA und FBI den Opfern eine Anleitung.

    Die REvil-Cybergang beansprucht die Lorbeeren für den massiven Ransomware-Angriff gegen den Managed Service Provider Kaseya Limited am Freitag. Die Kriminellen, die hinter dem Angriff stehen, behaupten, dass sie 1 Million Systeme infiziert haben, die mit Kaseya-Diensten verbunden sind, und fordern 70 Millionen Dollar in Bitcoin im Austausch für einen Entschlüsselungsschlüssel. Die Bundesbehörden schätzen die Zahl der betroffenen Unternehmen auf mehrere Tausend.

    Der Angriff ist massiv und gilt als der größte globale Ransomware-Angriff aller Zeiten. Betroffen sind Computersysteme von Finanzdienstleistern, Reise- und Freizeitunternehmen sowie des öffentlichen Sektors in 17 Ländern. Es wird berichtet, dass der schwedische Lebensmittelhändler Coop gezwungen war, 800 seiner Filialen für mehr als zwei Tage zu schließen, weil sein Kassensoftware-Lieferant von dem Angriff betroffen war.

    In verwandten Entwicklungen boten die US-Bundesbehörde für Cybersicherheit und Infrastruktursicherheit (CISA) und das Federal Bureau of Investigation (FBI) den von dem weitreichenden Angriff Betroffenen Hilfe an.
    [Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2019/02/19151457/subscribe2.jpg]

    Es wird vermutet, dass der Kaseya-Angriff bis zu 1.000 Firmen betroffen hat, als die Angreifer mehrere Firmen angriffen, die als Managed Service Provider (MSP) bekannt sind und die Netzwerke anderer Firmen verwalten. Im Fall des Kaseya-Angriffs vom Freitag wird davon ausgegangen, dass über tausend Unternehmen in irgendeiner Weise von dem Ransomware-Angriff betroffen sind.

    REvil Cybergang nimmt Kredit

    Am Sonntag postete die als REvil bekannte Cybergang eine Nachricht in einem Hackerforum, in der sie sich zu dem Angriff bekannte. Die Nachricht erklärte:

    “Am Freitag (02.07.2021) haben wir einen Angriff auf MSP-Anbieter gestartet. Mehr als eine Million Systeme wurden infiziert. Wenn jemand über einen universellen Entschlüsseler verhandeln möchte – unser Preis ist 70 000 000$ in BTC und wir werden öffentlich einen Entschlüsseler veröffentlichen, der die Dateien aller Opfer entschlüsselt, so dass jeder in der Lage sein wird, sich von dem Angriff in weniger als einer Stunde zu erholen. Wenn Sie an einem solchen Deal interessiert sind – kontaktieren Sie uns mit Hilfe der Anweisungen in der “Readme”-Datei der Opfer.” – REvil.

    Laut einer detaillierten Analyse des REvil-Angriffs von Kaspersky ist die Bande (auch bekannt als Sodinokibi-Ransomware-Gang) seit April 2019 aktiv, nachdem sich die GrandCrab-Cybergang aufgelöst hat. “REvil-Ransomware wird seit drei Jahren in Untergrundforen beworben und ist eine der produktivsten Ransomware-as-a-Service (RaaS)-Operationen”, schreiben die Forscher.

    CISA und FBI bieten Anleitungen

    In einer Erklärung, die das FBI am Samstag veröffentlichte, kündigte die Behörde eine koordinierte Untersuchung des Angriffs mit der CISA an.

    “Wir ermutigen alle, die betroffen sein könnten, die empfohlenen Abhilfemaßnahmen zu ergreifen und den Anweisungen von Kaseya zu folgen, die VSA-Server sofort herunterzufahren. Wie immer sind wir bereit, alle betroffenen Unternehmen zu unterstützen”, heißt es in einer Sicherheitswarnung.

    Am folgenden Tag aktualisierte das FBI seine Richtlinien und forderte die betroffenen Unternehmen auf, die neu entwickelten Abhilfemaßnahmen zu befolgen und den Angriff an die Behörde zu melden.

    “Wenn Sie der Meinung sind, dass Ihre Systeme durch den Kaseya Ransomware-Vorfall kompromittiert wurden, empfehlen wir Ihnen, alle empfohlenen Abhilfemaßnahmen zu ergreifen, die Anweisungen von Kaseya und der Cybersecurity and Infrastructure Security Agency (CISA) zu befolgen, um Ihre VSA-Server sofort herunterzufahren, und die Kompromittierung dem FBI unter ic3.gov zu melden.

    CISA-FBI-Anleitung für MSPs und Kaseya-Opfer

    Zu den von der CISA veröffentlichten Empfehlungen zur Schadensbegrenzung gehören:

    • Laden Sie das Kaseya VSA Detection Tool herunter. Dieses Tool analysiert ein System (entweder VSA-Server oder verwalteter Endpunkt) und stellt fest, ob irgendwelche Indikatoren für eine Kompromittierung (IoC) vorhanden sind.
    • Aktivieren und erzwingen Sie die Multi-Faktor-Authentifizierung (MFA) für jedes einzelne Konto, das sich unter der Kontrolle des Unternehmens befindet, und – soweit möglich – aktivieren und erzwingen Sie MFA für kundenorientierte Dienste.
    • Implementieren Sie eine Erlaubnisliste, um die Kommunikation mit Fernüberwachungs- und -verwaltungsfunktionen (RMM) auf bekannte IP-Adresspaare zu beschränken, und/oder
    • Platzieren Sie administrative Schnittstellen von RMM hinter einem virtuellen privaten Netzwerk (VPN) oder einer Firewall in einem dedizierten administrativen Netzwerk.

    Am Sonntag wies Präsident Joe Biden die US-Geheimdienste an, den Ransomware-Angriff zu untersuchen.

    Bident sagte, er und andere US-Behörden seien “nicht sicher”, wer hinter dem Angriff stecke. “Der anfängliche Gedanke war, dass es nicht die russische Regierung war, aber wir sind noch nicht sicher”, sagte er.

    Analyse des Angriffs

    Laut einer Analyse des Angriffs von Kaspersky griffen die Angreifer die Systeme an, indem sie zunächst einen bösartigen Dropper über ein PowerShell-Skript bereitstellten, das über die Software von Kaseya ausgeführt wurde.

    “Dieses Skript deaktiviert die Funktionen von Microsoft Defender für den Endpunktschutz und verwendet dann das Dienstprogramm certutil.exe, um eine bösartige ausführbare Datei (agent.exe) zu entschlüsseln, die eine legitime Microsoft-Binärdatei (MsMpEng.exe, eine ältere Version von Microsoft Defender) und eine bösartige Bibliothek (mpsvc.dll), bei der es sich um die Ransomware REvil handelt, ablegt. Diese Bibliothek wird dann von der legitimen MsMpEng.exe unter Verwendung der DLL-Side-Loading-Technik (T1574.002) geladen”, schrieb Kaspersky.

    Laut den Forschern wurden mehr als 5.000 Angriffsversuche durch REvil in 22 Ländern durchgeführt.

    Schauen Sie sich unsere kostenlosen kommenden Live- und On-Demand-Webinar-Veranstaltungen an – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com