Kaseya schließt Supply-Chain-Angriff aus und sagt, dass VSA 0-Day seine Kunden direkt trifft

  • Das US-amerikanische Technologieunternehmen Kaseya, das den bisher größten Ransomware-Angriff auf sein VSA-On-Premises-Produkt bekämpft, schloss die Möglichkeit aus, dass seine Codebasis unautorisiert manipuliert wurde, um Malware zu verbreiten.

    Während anfängliche Berichte Spekulationen aufkommen ließen, dass sich die Ransomware-Bande Zugang zur Backend-Infrastruktur von Kaseya verschafft und diese missbraucht haben könnte, um ein bösartiges Update auf VSA-Servern zu installieren, die bei Kunden vor Ort laufen – in einem Modus Operandi, der dem des verheerenden SolarWinds-Hacks ähnelt -, hat sich inzwischen herausgestellt, dass eine noch nie dagewesene Sicherheitslücke (CVE-2021-30116) in der Software ausgenutzt wurde, um Ransomware an die Kunden von Kaseya zu verteilen.

    [Blocked Image: https://thehackernews.com/images/-UHcDw0TZuOc/YMt1nZpazaI/AAAAAAAA4Qs/d1jlOI8xheYWIFx_O8QJFzDxJI5tRuD7ACLcBGAsYHQ/s300-e100/free-ad-8-300.png]

    “Die Angreifer waren in der Lage, Zero-Day-Schwachstellen im VSA-Produkt auszunutzen, um die Authentifizierung zu umgehen und beliebige Befehle auszuführen”, so das Unternehmen mit Hauptsitz in Miami in der Vorfallsanalyse. “Dadurch konnten die Angreifer die Standardfunktionalität des VSA-Produkts ausnutzen, um Ransomware auf Endpunkten zu installieren. Es gibt keine Hinweise darauf, dass die VSA-Codebasis von Kaseya böswillig verändert wurde.”

    Mit anderen Worten: Ein erfolgreicher Zero-Day-Angriff auf die Kaseya VSA-Software an sich ist zwar kein Angriff auf die Lieferkette, aber die Ausnutzung der Schwachstelle zur Kompromittierung von Managed Service Providern (MSPs) und zum Angriff auf deren Kunden wäre ein solcher.

    Es ist jedoch unklar, wie die Hacker von den Sicherheitslücken erfahren. Die Details dieser Schwachstellen wurden noch nicht öffentlich bekannt gegeben.

    Laut Fred Voccola, CEO des Unternehmens, wurden zwischen 800 und 1.500 Unternehmen auf der ganzen Welt durch den Ransomware-Angriff lahmgelegt, von denen die meisten kleine Unternehmen wie Zahnarztpraxen, Architekturbüros, plastische Chirurgiezentren und Bibliotheken waren.

    Hacker, die der mit Russland verbundenen REvil Ransomware-as-a-Service (RaaS)-Gruppe angehören, verlangten zunächst 70 Millionen Dollar in Bitcoins, um ein Entschlüsselungs-Tool zur Wiederherstellung aller Daten der betroffenen Unternehmen freizugeben, obwohl sie den geforderten Preis schnell auf 50 Millionen Dollar gesenkt haben, was auf eine Bereitschaft hindeutet, ihre Forderungen im Gegenzug für einen geringeren Betrag auszuhandeln.

    “Die Ransomware REvil wird seit drei Jahren in Untergrundforen beworben und ist eine der produktivsten RaaS-Operationen”, sagten Kaspersky-Forscher am Montag und fügten hinzu: “Die Bande verdiente im Jahr 2020 über 100 Millionen Dollar mit ihren Operationen.”

    [Blocked Image: https://thehackernews.com/images/-azy2o-jUy8I/YLy9OO3scVI/AAAAAAAA4BY/75hsq3eOBOQsJbLGxKzF4tx3ZGV010RVwCLcBGAsYHQ/s728-e100/ransomware_728.jpg]

    Die Angriffskette funktionierte, indem zunächst ein bösartiger Dropper über ein PowerShell-Skript bereitgestellt wurde, das über die VSA-Software von Kaseya ausgeführt wurde.

    “Dieses Skript deaktiviert die Funktionen von Microsoft Defender für den Endpunktschutz und verwendet dann das Dienstprogramm certutil.exe, um eine bösartige ausführbare Datei (agent.exe) zu entschlüsseln, die eine legitime Microsoft-Binärdatei (MsMpEng.exe, eine ältere Version von Microsoft Defender) und eine bösartige Bibliothek (mpsvc.dll), bei der es sich um die REvil-Ransomware handelt, ablegt. Diese Bibliothek wird dann von der legitimen MsMpEng.exe unter Verwendung der DLL-Side-Loading-Technik geladen”, fügten die Forscher hinzu.

    Der Vorfall hat die U.S. Cybersecurity and Infrastructure Security Agency (CISA) dazu veranlasst, eine Anleitung zur Schadensbegrenzung anzubieten, die Unternehmen dazu auffordert, eine Multi-Faktor-Authentifizierung zu aktivieren, die Kommunikation mit Remote-Monitoring- und -Management-Funktionen (RMM) auf bekannte IP-Adresspaare zu beschränken und die administrativen Schnittstellen von RMM hinter einem virtuellen privaten Netzwerk (VPN) oder einer Firewall in einem dedizierten administrativen Netzwerk zu platzieren.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com