Kaseya Patches stehen nach Zero-Day-Exploits unmittelbar bevor, 1.500 Personen betroffen

  • Die Ransomware-Bande REvil senkt den Preis für den Universal Decryptor nach einem massiven weltweiten Ransomware-Vorstoß gegen die Kaseya-Sicherheitslücke CVE-2021-30116.

    Die weltweiten Angriffe auf die Kaseya Virtual System/Server Administrator (VSA)-Plattform am 2. Juli durch die REvil-Ransomware-Gang entpuppten sich als Ergebnis von Exploits für mindestens eine Zero-Day-Sicherheitslücke, und das Unternehmen schaltet in den vollen Entschärfungsmodus, wobei Patches für die On-Premise-Version in Kürze, wahrscheinlich am Mittwoch oder Donnerstag, zur Verfügung stehen werden, hieß es.

    Die VSA-Software wird von Kaseya Kunden zur Fernüberwachung und -verwaltung von Software- und Netzwerkinfrastrukturen eingesetzt. Sie wird entweder als gehosteter Cloud-Service von Kaseya oder über VSA-Server vor Ort bereitgestellt.

    Die Angriffe auf VSA (Details zu den mehreren Zero-Day-Bugs, die vermutlich genutzt wurden, finden Sie weiter unten) haben nun schätzungsweise zur Verschlüsselung von Dateien bei rund 60 Kaseya Kunden geführt, die die Vor-Ort-Version der Plattform nutzen – viele davon sind Managed Service Provider (MSPs), die VSA zur Verwaltung der Netzwerke anderer Unternehmen nutzen.

    Diese MSP-Verbindung ermöglichte REvil den Zugriff auf diese Kunden von Kunden, und es sind jetzt etwa 1.500 nachgelagerte Unternehmen betroffen, so Kaseya in einem aktualisierten Rolling Advisory. Es wird geschätzt, dass mehr als eine Million einzelner Systeme blockiert sind, und Kaspersky sagte am Montag, dass es zu diesem Zeitpunkt mehr als 5.000 Angriffsversuche in 22 Ländern gesehen hat.

    “Der VSA-Server wird verwendet, um große Flotten von Computern zu verwalten, und wird normalerweise von MSPs verwendet, um alle ihre Clients zu verwalten”, erklärten die Forscher von TruSec in einem Beitrag vom Sonntag. “Ohne Trennung zwischen den Client-Umgebungen schafft dies eine Abhängigkeit: Wenn der VSA-Server kompromittiert wird, können alle Client-Umgebungen, die von diesem Server aus verwaltet werden, ebenfalls kompromittiert werden.”

    Weiter heißt es: “Wenn der VSA-Server dem Internet ausgesetzt ist, kann jede potenzielle Schwachstelle über das Internet ausgenutzt werden, um den Server zu kompromittieren. Genau das ist in diesem Fall passiert. Der Bedrohungsakteur, ein Mitglied des REvil Ransomware-as-a-Service, hat eine Zero-Day-Schwachstelle im VSA-Server identifiziert und ausgenutzt. Die Schwachstelle wurde ausgenutzt, um ein bösartiges Skript einzuschleusen, das an alle vom Server verwalteten Computer gesendet wurde und somit alle Endclients erreichte. Das Skript lieferte die REvil-Ransomware und verschlüsselte die Systeme.”

    Während die Kunden also auf Patches warten, “sollten alle VSA-Server vor Ort weiterhin offline bleiben, bis weitere Anweisungen von Kaseya kommen, wann es sicher ist, den Betrieb wiederherzustellen”, so Kaseya. “Vor dem Neustart der VSA muss ein Patch installiert werden, und es wird eine Reihe von Empfehlungen geben, wie Sie Ihre Sicherheitslage verbessern können.”

    In der Zwischenzeit “wurden wir von unseren externen Experten darauf hingewiesen, dass Kunden, die von Ransomware betroffen waren und Kommunikation von den Angreifern erhalten haben, nicht auf irgendwelche Links klicken sollten – sie könnten bewaffnet sein”, fügte das Unternehmen hinzu.

    Das Unternehmen hat außerdem eine neue Version eines Tools zur Erkennung von Kompromittierungen veröffentlicht, mit dem Unternehmen ein System (entweder einen VSA-Server oder einen verwalteten Endpunkt) analysieren und feststellen können, ob Indikatoren für eine Kompromittierung (Indicators of Compromise, IoC), Datenverschlüsselung oder die REvil-Lösegeldforderung vorhanden sind.

    Die Cybersecurity and Infrastructure Security Agency (CISA) und das FBI boten am Wochenende auch gemeinsame Schutzhinweise für diejenigen an, die noch nicht von den Angriffen betroffen sind.

    Kaseya nahm auch die Software-as-a-Service (SaaS)-Plattform offline, wodurch die Anzahl der Kunden, die dem Internet und damit Angriffen ausgesetzt sind, deutlich reduziert wurde. Der Start wird ein gestaffeltes Comeback sein, bei dem die Funktionalität in Wellen wieder eingeschaltet wird, hieß es.

    REvil senkt Lösegeld für Universal Decryptor

    REvil bietet einen universellen, öffentlichen Entschlüsselungsschlüssel an, mit dem alle betroffenen Opfer wiederhergestellt werden können, hieß es. Während der ursprüngliche Preis für das Lösegeld bei 70 Millionen Dollar lag, hat die Bande ihre Preisvorstellung auf 50 Millionen Dollar gesenkt, wie ein Forscher berichtet.

    In Ermangelung eines universellen Entschlüsselungsprogramms sind einige betroffene Unternehmen Berichten zufolge zu individuellen Verhandlungen mit REvil übergegangen. So beschrieb der Forscher Marco A. De Felice (in italienischer Sprache) eine Reihe von beobachteten Chat-Protokollen, in denen verschiedene individuelle Lösegeldforderungen für Unternehmen mit 550.000 Dollar angegeben wurden (und dann auf 225.000 Dollar gesenkt wurden), und in einem anderen Fall lag das Lösegeld bei weniger als 50.000 Dollar.

    Für diejenigen, die bereits mit der Ransomware REvil infiziert sind, hängt die Möglichkeit zur Behebung eines Angriffs leider von den Sicherheitsvorkehrungen im Einzelfall ab, wie z. B. der Erstellung von Offline-Backups von Dateien.

    “REvil verwendet den symmetrischen Stream-Algorithmus Salsa20 zur Verschlüsselung des Dateiinhalts und die Schlüssel dazu mit einem asymmetrischen Algorithmus mit elliptischer Kurve”, so die Kaspersky-Forscher. “Die Entschlüsselung von Dateien, die von dieser Malware betroffen sind, ist aufgrund des sicheren kryptografischen Schemas und der Implementierung, die in der Malware verwendet werden, ohne die Schlüssel der Cyberkriminellen unmöglich.”

    Zero Days, nicht SolarWinds Teil 2

    Der Angriff selbst scheint eher den Accellion-Angriffen zu ähneln, die das ganze Frühjahr über auftraten, als dem verheerenden Supply-Chain-Angriff von SolarWinds Anfang dieses Jahres.

    Ersterer hatte mit Zero-Day-Schwachstellen zu tun, die in dem Legacy-Produkt File Transfer Appliance von Accellion vorhanden waren. Bösewichte mit Verbindungen zur FIN11- und Clop-Ransomware-Gang trafen bei den finanziell motivierten Angriffen mehrere Accellion FTA-Kunden, darunter die Anwaltskanzlei Jones Day, Kroger und Singtel. Alle erhielten Erpresser-E-Mails, in denen damit gedroht wurde, gestohlene Daten auf der .onion-Website “CL0P^_- LEAKS” zu veröffentlichen.

    Bei SolarWinds handelte es sich derweil um einen Angriff, den die USA der russischen Regierung zuschrieben. Dabei wurden die Backend-Systeme von SolarWinds manipuliert, um ahnungslosen Kunden ein Software-Update mit einer Hintertür zukommen zu lassen. Anschließend wurden weitere Spionageangriffe auf Technologieunternehmen und mehrere US-Regierungsbehörden versucht.

    Im Fall von Kaseya nutzen die Angreifer mindestens eine Zero-Day-Sicherheitslücke aus, um Ransomware an die Kunden von Kaseya zu verteilen.

    “Die Angreifer waren in der Lage, Zero-Day-Schwachstellen im VSA-Produkt auszunutzen, um die Authentifizierung zu umgehen und beliebige Befehle auszuführen”, so das Unternehmen in seiner technischen Vorfallsanalyse. “Dadurch konnten die Angreifer die Standardfunktionalität des VSA-Produkts ausnutzen, um Ransomware auf Endpunkten zu installieren. Es gibt keine Hinweise darauf, dass die VSA-Codebasis von Kaseya böswillig verändert wurde.”

    Kaseya wusste von einem Fehler (CVE-2021-30116), bevor die Angriffe begannen – er war dem Unternehmen vom Dutch Institute for Vulnerability Disclosure (DIVD) gemeldet worden.

    “Während des gesamten Prozesses hat Kaseya gezeigt, dass sie bereit waren, ein Maximum an Aufwand und Initiative in diesen Fall zu stecken, um dieses Problem zu beheben und ihre Kunden zu patchen”, heißt es in einem DIVD-Bericht. “Sie haben ein echtes Engagement gezeigt, das Richtige zu tun. Leider wurden wir im Endspurt von REvil geschlagen, da sie die Schwachstellen ausnutzen konnten, bevor die Kunden überhaupt gepatcht werden konnten.”

    Unabhängig davon haben die Forscher von Huntress Labs eine Zero-Day-Schwachstelle identifiziert, die bei dem Angriff verwendet wurde, obwohl unklar ist, ob sie von CVE-2021-30116 getrennt ist: “Huntress hat bestätigt, dass Cyberkriminelle eine Schwachstelle für den Upload beliebiger Dateien und die Einspeisung von Code ausgenutzt haben und mit hoher Wahrscheinlichkeit ein Authentifizierungs-Bypass verwendet wurde, um Zugang zu diesen Servern zu erhalten”, hieß es.

    TruSec stellte unterdessen fest, dass “[while] noch nicht alle Details bestätigt wurden, aber wir können mit hoher Sicherheit sagen, dass der Exploit mehrere Schwachstellen beinhaltet: Authentifizierungsumgehung; beliebiger Datei-Upload; Code-Injektion.”

    Laut Kaspersky beinhaltet der Exploit, dass die Angreifer einen bösartigen Dropper über ein PowerShell-Skript bereitstellen. Dieses Skript deaktiviert die Funktionen von Microsoft Defender und verwendet dann das Dienstprogramm certutil.exe, um eine bösartige ausführbare Datei (agent.exe) zu entschlüsseln, die eine ältere Version von Microsoft Defender zusammen mit der Ransomware REvil in einer bösartigen Bibliothek enthält. Diese Bibliothek wird dann von der legitimen MsMpEng.exe unter Verwendung der DLL-Side-Loading-Technik geladen, so die Firma.

    Weitere technische Details über den Fehler und die Angriffskette sind vorerst nur spärlich vorhanden.

    Kaseya wird voraussichtlich am Dienstagmorgen ein weiteres Update veröffentlichen, und Threatpost wird diesen Beitrag entsprechend aktualisieren.

    Informieren Sie sich über unsere kommenden kostenlosen Live- und On-Demand-Webinar-Veranstaltungen – einzigartige, dynamische Diskussionen mit Cybersicherheitsexperten und der Threatpost-Community.

    [Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/07/06110641/kaseya-e1625584018285.jpg]

    Einige Teile dieses Artikels stammen aus:
    threatpost.com