Ransomware-Angriff auf Kaseya zieht weltweite Auswirkungen nach sich„Wann trifft es mein Unternehmen?“
6. Juli 2021Nach einem Cyber-Angriff auf das IT-Unternehmen Kaseya ist es weltweit zu IT-Störungen gekommen. Zahlreiche IT-Dienstleister, deren Kunden und weitere Unternehmen sind Opfer von Ransomware geworden. Bei diesem Angriff haben Computer-Kriminelle einen Zero-Day-Exploit der Virtual Systems Administrator (VSA)-Software von Kaseya genutzt, der von REvil Ransomware-as-a-Service (RaaS) bereitgestellt wurde. Damit wurde die Ransomware verteilt. Normalerweise bietet diese Software einen äußerst vertrauenswürdigen Kommunikationskanal, der MSPs privilegierten Zugriff ermöglicht, um vielen Unternehmen bei ihren IT-Umgebungen zu helfen. Genau diese Plattform wurde nun als Verteiler für die Ransomware umfunktioniert.
Die logische Konsequenz aus diesem erneuten Vorfall lautet: Ein Ransomware-Befall kann jedes Unternehmen treffen, es stellt sich eher die Frage, wann das passiert. Denn wie das aktuelle Beispiel bei Kaseya zeigt, nutzen die Kriminellen einen Managed Service Provider (MSP) – Kaseya – als „Vertriebsplattform“, um so viele Unternehmen wie möglich zu treffen.
Dabei zeigt sich ein wiederkehrendes Muster: Angreifer passen ihre Methoden ständig unter der Maxime an, eine größtmögliche Wirkung zu erzielen, sei es in finanzieller Hinsicht, oder zum Stehlen von Anmeldedaten und anderen proprietären Informationen, die sie später nutzen könnten. Bei früheren groß angelegten Ransomware-Angriffen, wie etwa WannaCry, war die Ransomware selbst der Verteiler. Damit ergibt sich eine neue Qualität der Bedrohungslage.
Erschwert wird die Angelegenheit, da einige erfolgreiche Ransomware-Gruppierungen in letzter Zeit Lösegeld in Millionenhöhe erbeutet haben. Damit sind sie in der Lage, sehr wertvolle Zero-Day-Exploits erwerben zu können. Bestimmte Exploits sind bislang normalerweise nur auf Nationalstaaten-Ebene realisierbar gewesen, die diese Tools normalerweise ganz gezielt für einen bestimmten, isolierten Angriff einsetzen. In den Händen von Cyber-Kriminellen kann ein solcher „Premium-Exploit“ für eine Schwachstelle in einer globalen Plattform viele Unternehmen gleichzeitig treffen.
Umso wichtiger ist die Konzentration der IT-Verantwortlichen auf das Thema „schnelle Wiederherstellung nach einem Ransomware-Befall“. Hier sind möglichst aktuelle Offline-Backups nötig, die sich im Fall der Fälle für eine schnelle Wiederherstellung eignen – und zudem getestet sein müssen. Denn sonst kann es sein, dass ein „kompromittiertes System“ wiederhergestellt wird.
Weitere Ansatzpunkte, um die Probleme zu lindern, sind erprobte Notfallpläne, um die Wiederherstellung mit kühlem Kopf anzugehen. Zudem kann eine vernünftige Segmentierung des Unternehmensnetzwerk, verbunden mit einem sauberen Rollenkonzept (nach dem Least Privilege Prinzip), den Gefährdungsbereich einschränken. (rhh)