Thought Leadership
“Wir wurden gehackt.” ist vielleicht einer der meist-gefürchtetsten Sätze von Unternehmen. Eine Sorge, die vor gut einem Jahr auch für den IT-Dienstleister Kaseya Realität wurde als Hacker der russischen REvil-Bande es schafften das Firmennetzwerk zu kompromittieren.
Zugang erlangte die Hackergruppe damals über eine ungepatchte Zero-Day-Schwachstelle in Kaseyas VSA-Software. Nachdem sie Zugang zur VSA-Lösung hatten, erstellten die Angreifer ein gefälschtes, bösartiges automatisches Update mit dem Namen “Kaseya VSA Agent Hot-fix” und spielten es auf VSA-Server in den Netzwerken der Kaseya Kunden ein.
Hierbei ist es wichtig zu wissen, dass die VSA-Software eine Lösung ist, die Remote Monitoring und Management (RMM) von Servern und Computern ermöglicht. Dazu gehört beispielsweise die Überwachung eines zentralen Dashboards sowie Wartung und Patchen von Systemen mit Software-Updates – alles aus der Ferne. Dieser Aspekt machte die Lösung zu einer beliebten Software für eine Großzahl von Managed Service Providern (MSPs), was einen fatalen Dominoeffekt zur Folge hatte.
Damit das System seine Aufgaben bewältigen kann, besitzt Kaseyas VSA-Software in aller Regel Administratorenrechte. Das konnte sich auch die Ransomware zu Nutze machen und infiltrierte über Kaseyas MSP-Kunden wiederum knapp 1,500 weitere Unternehmen – darunter unter anderem die schwedische Supermarktkette Coop. Damit fällt diese Art von Angriff unter die Kategorie der “Supply Chain Attack”, bei dem die Angreifer nur ein zentrales Softwaresystem hacken müssen, um von dort aus ihre Ransomware auf viele weitere IT-Infrastrukturen verschiedener Anwenderunternehmen verteilen zu können.
Letztlich kostete der Angriff Kaseya viele Nerven und – laut Forderung der REvil-Erpresser – circa 50 Millionen Dollar, die als Lösegeld im Gegenzug für einen Generalschlüssel zur Wiederherstellung der Systeme gefordert wurden.
Nun stehen wir hier ein Jahr nach der Attacke und sollten uns fragen, was wir wirklich aus den Lektionen dieser Attacke mitgenommen haben und wie relevant dieses Wissen heute noch ist?
Was sind die 3 Lektionen, die wir aus dem Kaseya-Angriff mitnehmen konnten?
1. Es ist anzunehmen, dass in Zukunft viele Ransomware-Familien verkettete Angriffe verwenden werden, die einen bekannten Prozess ausnutzen, um bösartige Aktivitäten auf globaler Ebene durchzuführen. “Die REvil-Akteure waren sehr erfolgreich darin, sich schnell und früh in der Kill Chain Zugang zu Opfernetzwerken zu verschaffen. Daher müssen Unternehmen jeden möglichen Zugangspunkt zu ihren Netzwerken schützen. Der Einsatz von Multi-Faktor-Authentifizierung und VPN-Technologien ist dabei unabdingbar”, ergänzt Scott Chennells, Distinguished Sales Engineer bei Deep Instinct.
2. Ransomware-Kampagnen sind aufgrund des Erfolgs früherer Kampagnen finanziell besser ausgestattet als je zuvor. Brian Black, Director of Sales Engineering bei Deep Instinct, erklärt: “Ransomware ist zu einem voll finanzierten, globalen Geschäft geworden, das durch sein Vertriebsmodell nicht mehr zu stoppen ist.” Schließlich finden sich moderne Ransomware-Algorithmen mittlerweile als “Ransomware-as-a-Service” (RaaS) im Darknet. In diesem Verkaufsmodell bieten Uhrheber ihren Schadcode Partnern, sogenannte Affiliates, an, und kassieren einen Teil der Lösegeldzahlungen. Somit wird jeder, der Zugang zu diesen Urhebern hat, zum potentiellen Cyberkriminellen.
Auch REvil ist eine Malware, die als RaaS-Plattform betrieben wird, und sie war im letzten Jahr eine der am häufigsten eingesetzten Ransomware-Lösungen. Da mittlerweile verschiedene Hackergruppen diese Ransomware nutzen, variiert der anfängliche Zugriffsvektor.
3. Russland als Nation wird weiterhin wegschauen, wenn Bedrohungsakteure durchgesickerte Angriffswerkzeuge zur Verwendung in großen Attacken untereinander verbreiten und weitergeben. Russische Geheimdienste wurden bereits sogar mit Angriffen gegen die USA und andere Länder in Verbindung gebracht.
Wie relevant sind diese Erkenntnisse heute?
Es mag ungewöhnlich erscheinen, aber die vom Kaseya-Angriff gezogenen Lehren sind heute noch relevanter als vor einem Jahr.
Eine Kompromittierung der Software-Lieferkette kann weitreichende und verheerende Folgen haben. Die heutige Bedrohungslandschaft hat sich im letzten Jahr eher verschlimmert. Es gibt eine deutliche Zunahme von unbekannter Malware und sehr erfolgreichen Ransomware-Angriffen, auf die weder Unternehmen noch deren IT-Sicherheitslösungen vorbereitet sind.
Wie wir bereits bei SolarWinds und Colonial Pipeline gesehen haben, kann eine Kompromittierung der Lieferkette lange Zeit unentdeckt bleiben. Die Fähigkeiten zur Erkennung und Reaktion nach der Ausführung von Malware haben sich verbessert, aber auch die Raffinesse unserer Gegner, die Kontrollen zu umgehen, die sie eigentlich aufhalten sollen.
Darüber hinaus haben Bedrohungsakteure begonnen, maschinelles Lernen (Machine Learning/ML) für die Automatisierung von Angriffen zu nutzen und haben gelernt, wie sie die künstliche Intelligenz (KI), die sie stoppen soll, von Anfang an vergiften können, um so später ein leichteres Spiel zu haben, diese zu umgehen. Wir müssen uns dessen bewusst sein und KI-Cybersicherheitslösungen entwickeln, die weniger anfällig für Manipulationen und Täuschungen durch menschliche Hand sind.
Fatales Schweigen – worüber nach Kaseya gesprochen werden sollte
Angriffe auf die Lieferkette können verheerend sein, und das gesamte Ökosystem der Lieferkette ist nicht ausreichend geschützt. Außerdem sind die Prämien für Cyber-Versicherungen den Ransomware-Gruppen bekannt, und Unternehmen, die höhere Prämien zahlen, sind laut einem Forbes-Artikel von Anfang des Jahres, lukrativere Ziele für Angreifer; diejenigen mit größeren Investitionen in Cyber-Versicherungen sind bevorzugte Ziele für Erpressungen.
Was hat sich im letzten Jahr nicht geändert?
Die Unternehmen sind immer noch sehr im Rückstand, was das Patchen und Aktualisieren anfälliger Systeme angeht, und Angreifer nutzen bekannte Schwachstellen weiterhin mit überraschendem Erfolg aus. Die Komplexität der Software-Lieferkette macht es schwierig, verschiedene Systeme und Protokolle, die miteinander kommunizieren, zu sichern. Während sich die Unternehmen mit der Sicherheit ihrer Systeme auseinandersetzen, entziehen sich die Systeme Dritter weitgehend ihrer Kontrolle.
Prävention ist das halbe Leben…
Es ist sehr wahrscheinlich, dass ein Angriff dieses Ausmaßes wieder vorkommt.
Die Kompromittierung legitimer Software oder Geschäftspraktiken ist extrem schwer zu verhindern. Was Unternehmen tun können, um sich zu schützen, ist die Einrichtung besserer Anti-Malware-Funktionen, die die verschiedenen Phasen eines Angriffs auf die Lieferkette unterbrechen können. Indem sie den Angriffsprozess erschweren und verhindern, dass Malware ausgeführt wird, bevor sie im Netzwerk landet, kann der gesamte Angriff vereitelt werden. Das geschieht noch während das Puzzle zusammengesetzt wird, um das gesamte Ausmaß des Angriffs zu verstehen.
