Anzeige

Ransomware

Erste Untersuchungen des Vorfalls zeigen, dass der Angriff über eine Schwachstelle in der VSA-Web-Oberfläche von Kaseya ausgelöst wurde.

Diese Schwachstelle hat es den Angreifern erlaubt, die Authentifizierungsmaßnahmen zu umgehen, in den VSA-Dienst vorzudringen und so den Angriff  auszuführen. Ähnlich wie beim Angriff auf SolarWinds verbreitete sich die Ransomware über eine Art Lieferkette durch ein (bösartiges) Software-Update.

Experten sind sich einig, dass VSA grundsätzlich ein sehr vertrauenswürdiger Dienst ist. Das heißt, integrierte Systeme akzeptieren in der Regel alle Anfragen, die über den Dienst eingehen. Was das Patchen der Schwachstellen anbelangt, räumt Kaseya nach eigenen Aussagen der cloudbasierten Infrastruktur Priorität ein. Danach soll es dann einen Patch-Plan für On-Prem-Kunden geben.

Einer der größten Vorteile einer cloudbasierten Infrastruktur ist, dass Kaseya den Sicherheitspatch für Kunden ihrer SaaS-Plattform, automatisch bereitstellen kann. Wenn es darum geht, Ressourcen sicher und auf dem neuesten Stand zu halten, ist eine On-Prem-Infrastruktur potenziell schwierig zu managen. Als jüngst vier Zero-Day-Schwachstellen in Microsoft Exchange Server entdeckt wurden, hatten On-Prem-Nutzer mehr Probleme damit, die Lücken zu beheben – und das zu einem Zeitpunkt als diese bereits aktiv ausgenutzt wurden. 

Kaseya hat seine Kunden gewissenhaft über das Problem informiert, Experten für die forensische Untersuchung hinzugezogen und die Kommunikation hinsichtlich der Fixes offen geführt. Das ist auf jeden Fall die richtige Vorgehensweise, wenn man Opfer eines Ransomware-Angriffs geworden ist.

Niemand sieht sich gern in einer vergleichbaren Situation, aber eine offene Kommunikation 

trägt dazu bei, weitere Unternehmen zu sensibilisieren. Dazu kommt die Signalwirkung für andere Sicherheitsteams, sich verstärkt um die Teile der Infrastruktur zu kümmern, die bislang eine niedrigere Priorität hatten.

Die Besonderheiten von Ransomware-as-a-Service (RaaS)

Ransomware-as-a-Service (RaaS) wie REvil ermöglicht es sogenannten „Affiliates“ der betreffenden Gruppe, deren Dienste auf Basis eines Subskriptionsmodells zu nutzen – ausgeklügelte Angriffe mit vorgefertigter Malware. Dies ist ein Beispiel, wie Ransomware-Gruppen operativ immer raffinierter vorgehen. Sie werden geführt wie ein kleines Unternehmen, bieten eigene Services an, arbeiten ein wiederholbares Modell aus und investieren kontinuierlich in neue Taktiken und Technologien, die für den anhaltenden Erfolg des Produkts sorgen sollen.

Die wachsende Zahl RaaS-basierter Angriffe verlangt von Sicherheitsteams, bereits präventiv Lösungen 

zu implementieren, welche die mit Ransomware verbundenen Risiken senken. Dies gilt auch für kleine und mittlere Unternehmen  - von denen sich viele unter den Kunden von Kaseya befinden. 

Die meisten Ransomware-Angriffe beginnen mit kompromittierten Anmeldeinformationen der Benutzer. Der häufigste Weg, über den Anmeldedaten gestohlen werden, ist mobiles Phishing.

Mitarbeiter werden über eine Vielzahl von privaten und beruflichen Apps angegriffen.

Unabhängig, ob per SMS, E-Mail, über soziale Medien oder Messaging-Plattformen von Drittanbietern - Angreifer sind mittlerweile ausgesprochen versiert darin, Social Engineering zu nutzen, um Anmeldeinformationen über die Anmeldung an Fake-Plattformen abzugreifen.

Sobald die Angreifer Zugriff erlangt haben, bewegen sie sich auf der Suche nach sensiblen Daten frei in der Infrastruktur, können Daten abziehen und anschließend die Malware hochladen, um Administratoren von den eigenen Ressourcen auszusperren, bis das Lösegeld gezahlt ist.

Was kleine und mittelgroße Firmen jetzt tun sollten

Kleine und mittlere Unternehmen verfügen vielleicht nicht über die Ressourcen eines Konzerns. 

Inzwischen gibt es Sicherheitslösungen, die speziell für kleinere Unternehmen entwickelt wurden und einen vergleichbaren Schutz bieten. Management, Implementierung und Wartung sind aber deutlich vereinfacht. 

Zugriffsmanagement, das Erkennen von Schwachstellen und anomalem Benutzer- und Dateiverhalten sind Funktionen, die moderne Sicherheitslösungen von Haus aus bieten sollten.

Wenn ein Benutzer oder ein Gerät versucht, sich mit der Infrastruktur zu verbinden, lässt sich über den Kontext erkennen, ob etwas kompromittiert wurde. Cloud Access Secure Broker (CASBs) und Zero Trust Network Access (ZTNA) ermöglichen es selbst schlanken IT- und Sicherheitsteams, unautorisierte Zugriffe auf die Infrastruktur als solche zu erkennen. Anschließend lassen sich automatische Abhilfemaßnahmen implementieren, die Benutzer oder Gerät daran hindern, sowohl auf die Cloud- als auch auf die On-Prem-Infrastruktur zuzugreifen, große Datenmengen herunterzuladen oder an sensible Daten heranzukommen, die von der Plattform automatisch klassifiziert werden.

Hank Schless, Lookout 


Artikel zu diesem Thema

Phishing
Jul 12, 2021

Kaseya: Cyberkriminelle nutzen Vorfall für Phishing

Nachdem die Aufräumarbeiten im Fall Kaseya andauern, nutzen Cyberkriminelle die…
Ransomware
Jun 04, 2021

Ransomware und Ransomware-as-a-Service - Wie komplex sind die Angriffe?

Die überwiegende Mehrzahl der Unternehmen hat große Bedenken, was Ransomware-Angriffe…
USA
Mai 31, 2021

Hacker der SolarWinds-Kampagne kapern E-Mail-Konten der US-Regierung

Die Russische Hacker-Gruppe, die hinter der Spionagekampagne SolarWinds steckte, hat eine…

Weitere Artikel

Virus

Einer von vier E-Mail-Kompromittierungsangriffen nutzt Lookalike-Domains

Die neuesten Daten zu BEC-Betrügereien zeigen, wie böswillige Akteure eine Mischung aus Gmail-Konten, einer Zunahme gestohlener Überweisungen und einer Verlagerung auf Lohnabzweigungen nutzen.
Hacker

Cyberkriminelle wollen Kapital aus dem Thema Steuern schlagen

Erneut versuchen Cyberkriminelle sich weltweit die anstehenden Steuererklärungen vieler Bürger und Unternehmen zunutze zu machen, um Login-Daten zu entwenden und Schadsoftware zu verbreiten.
Hackerangriff

Colonial Pipeline-Hack: Das Stromnetz wurde nicht angegriffen – noch nicht...

Der Colonial Pipeline-Hack war auch insofern bemerkenswert, als dass er der bisher bedeutsamste Ransomware-Angriff auf ein US-Energietransportsystem war, im Gegensatz zu einem reinen Kraftstoffanbieter wie Exxon.
Krankenhaus IT

Krankenhäuser im Visier von Hackern

Leere Tanksäulen, verriegelte Supermarkttüren und der erste digitale Katastrophenfall in Deutschland – Menschen weltweit haben die Folgen der jüngsten Cyberattacken gegen kritische Infrastrukturen (KRITIS) am eigenen Leib gespürt: Erst Colonial Pipeline, dann…
DDoS

Zahl der DDoS-Angriffe sind rasant gestiegen

Die Zahl der DDoS-Attacken erreichte im 1. Halbjahr 2021 einen neuen Höchstwert. Die Zunahme gegenüber dem Vorjahreszeitraum mit seinem DDoS-Boom und einer Verdopplung der Angriffe betrug noch einmal 33 Prozent.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.