Kaseya wird den On-Prem-Patch nicht vor der SaaS-Wiederherstellung veröffentlichen

  • Ein detaillierter Blick in eine Serverfarm in der Schweiz. Nach einem Shutdown, der durch einen Ransomware-Angriff verursacht wurde, entschied der Kaseya-Vorstand, dass das Unternehmen nicht bereit ist, sein Software-as-a-Service VSA-Tool zur Fernüberwachung und -verwaltung wiederherzustellen, was auch die Veröffentlichung eines Patches für On-Premises-Clients verzögern wird. (Foto von Dean Mouhtaropoulos/Getty Images)

    In einer Aktualisierung des Zeitrahmens für die Wiederherstellung am Montag sagte Kaseya, dass der Vorstand des Unternehmens entschieden habe, dass das Unternehmen nach dem Ransomware-Vorfall nicht bereit sei, mit der Wiederherstellung des Software-as-a-Service VSA-Tools für Fernüberwachung und -verwaltung zu beginnen. Diese Entscheidung scheint die Veröffentlichung eines Patches für On-Premises-Kunden zu verzögern.

    Seit Freitag wurden die On-Premises-Kunden von Kaseya VSA von einer Ransomware-Offensive eines REvil-Partners heimgesucht, die zwei Zero-Day-Bugs im Code ausnutzte – einen Authentifizierungs-Bypass und eine von mehreren SQL-Injections, wie Untersuchungen von Huntress Labs ergaben. Kaseya hat die SaaS-Version von VSA als Vorsichtsmaßnahme schnell heruntergefahren und die On-Premises-Benutzer angewiesen, den Dienst abzuschalten. Am Wochenende wiederholten sowohl die Cybersecurity and Infrastructure Security Agency als auch das FBI die Empfehlung, VSA vor Ort abzuschalten.

    “Wir entwickeln den neuen Patch für On-Premises-Clients parallel zur Wiederherstellung des SaaS-Rechenzentrums. Wir implementieren zuerst in SaaS, da wir jeden Aspekt dieser Umgebung kontrollieren. Sobald dies begonnen hat, werden wir den Zeitplan für die Verteilung des Patches für On-Premises-Kunden veröffentlichen”, schrieb das Unternehmen auf seiner Website.

    Kaseya hat ein Tool zur Erkennung von Sicherheitsverletzungen für Kunden veröffentlicht. Während es zunächst nur per E-Mail an das Unternehmen verfügbar war, ist es jetzt über diesen Link zugänglich.

    Klicken Sie hier, um alle aktuellen Informationen über den Cyberangriff auf Kaseya zu erhalten.

    Kaseya schätzt derzeit, dass zwischen 50-60 seiner Kunden von der REvil-Ransomware betroffen sind. Der Kundenstamm von Kaseya besteht jedoch überwiegend aus Managed Service Providern, von denen jeder einzelne genutzt werden kann, um ganze Kundenstämme zu infizieren. Huntress geht davon aus, dass die Zahl der nachgeschalteten Opfer des Angriffs in die Tausende geht.

    Die Lösegeldforderungen an einzelne Unternehmen reichten von Zehntausenden bis zu 5 Millionen Dollar. Am Sonntagabend gab die REvil-Gruppe in ihrem Blog bekannt, dass sie einen universellen Entschlüsseler für 70 Millionen Dollar freigeben würde.

    “Es gibt einige Faktoren, die bei diesem Angriff im Vergleich zu anderen hervorstechen”, schreibt Sophos in seinem Blog, in dem die Aufschlüsselung des Angriffs beschrieben wird. “Erstens macht dieser REvil-Angriff aufgrund seines Masseneinsatzes keine offensichtlichen Anstrengungen, Daten zu exfiltrieren. Die Angriffe wurden bis zu einem gewissen Grad an die Größe des Unternehmens angepasst, was bedeutet, dass die REvil-Akteure Zugriff auf VSA-Server-Instanzen hatten und in der Lage waren, einzelne Kunden von MSPs als anders als größere Unternehmen zu identifizieren. Und es gab keine Anzeichen für das Löschen von Volumen-Schattenkopien – ein Verhalten, das bei Ransomware üblich ist und viele Malware-Abwehrmechanismen auslöst.”

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com