Ransomware-Angriff unter der Führung der Cyber-Gang REvil (Sodikinibi) betrifft 1.500 Unternehmen weltweit

Revil Ransomware greift mehrere Unternehmen an Ein großer Ransomware-Angriff, der von der berüchtigten Cyber-Gang REvil / Sodinikibi an der Spitze durchgeführt wurde, könnte angeblich bis zu 200 Unternehmen in Amerika und fast 1500 weltweit getroffen haben. Die an Russland gebundenen Gauner kompromitierten ein spezielles Netzwerkmanagement-Softwarepaket, um die Bedrohung zu verbreiten, wodurch sie eine Vielzahl von Cloud-Service-Providern erreichen konnten.

Die fragliche fehlerhafte Software heißt Virtual System Administrator oder VSA – ein Remote Monitoring & Management System, das von Kaseya, einem privaten Unternehmen, entwickelt und vermarktet wird, das bestrebt ist, kleinen und mittleren Unternehmen auf der ganzen Welt effiziente und kostengünstige Softwarelösungen anzubieten. Die Malware begann mit der Ausführung von Ransomware auf Endpunkten, die vom lokalen VAS-Paket von Kaseya verwaltet wurden. Infolgedessen könnte sich das tatsächliche Ausmaß der Taktik als viel bedeutender erweisen, als die Sicherheitsforscher gehofft hatten.

Nutzung beliebter Software für eine größere Wirkung

Ransomware-Angriffe dieses Kalibers versuchen normalerweise, Sicherheitslücken in bekannten, weit verbreiteten Softwareprogrammen zu finden und diese dann auszunutzen, um die Malware weiter unten in der Lieferkette zu platzieren. Dies ist jedoch der erste groß angelegte Ransomware-Angriff auf die Lieferkette, den wir beobachtet haben. Angesichts der großen Anzahl von Unternehmen, die das VSA-Paket von Kaseya verwenden, ist nicht ganz klar, wie viel Prozent ihrer Kunden dem Angriff bisher zum Opfer gefallen sind. Das Management von Kaseya hat gerade eine offizielle Mitteilung herausgegeben, in der Kunden aufgefordert werden, alle ihre lokalen VSA-Server herunterzufahren, um die Verbreitung der Malware einzudämmen. Das Unternehmen hat zwar weniger als sechzig betroffene Kunden gefunden, letztere haben jedoch Geschäftsbeziehungen zu vielen anderen Unternehmen auf der ganzen Linie, was die Gesamtzahl der betroffenen Unternehmen auf etwa 1500 oder mehr schätzt.

Am Vorabend des 4. Juli – Zufall oder kalkulierter Schachzug?

Sicherheitsforscher gehen davon aus, dass der Zeitpunkt des Angriffs – Freitag, 2. Juli – absichtlich war, da die meisten Unternehmensabteilungen, einschließlich der IT, in der Regel vor und während nationaler Feiertage Personal reduziert haben. John Hammond von Huntress Labs, der den Angriff entdeckte, hat mindestens vier infizierte Managed-Services-Provider gemeldet, von denen jeder für viele andere Unternehmen IT-Infrastruktur-Hosting-Services bereitstellt. Der Supply-Chain-Charakter des Angriffs birgt ein enormes Schadenspotenzial, da seine letztendlichen Opfer die kleinen und mittleren Unternehmen sind, die vollständig von der Sicherheit ihrer Lieferanten abhängig sind. Ist dieser einmal verletzt, breitet er sich wie ein Lauffeuer unter den Geschäftskunden weiter unten in der Kette aus.

Patch und vorbeugende Maßnahmen (Stand 6. Juli, 12:00 Uhr EDT)

Die Beamten von Kaseya haben betroffenen Kunden geraten, ihre lokalen VSA-Server bis auf weiteres herunterzufahren und das Klicken auf Ransomware-bezogene URLs zu vermeiden, und versprachen, einen Sicherheitspatch zu entwickeln, bevor die Server wieder online gebracht werden. Das Unternehmen zog nach und stellte seine VSA-SaaS-Infrastruktur ebenfalls offline. Während die Sicherheitsspezialisten von Kaseya hoffen, die SaaS-Dienste heute bis 19:00 Uhr EDT wiederherstellen zu können, planen sie auch, eine Reihe verbesserter Sicherheitsmaßnahmen zu implementieren, um das Risiko zukünftiger Infektionen zu minimieren. Diese Maßnahmen reichen von der Einrichtung:

  • Ein unabhängiges Security Operations Center (SOC) zur Überwachung jedes VSA-Servers
  • Ein zusätzliches Content Delivery Network (CDN) mit entsprechender Web Application Firewall (WAF) für jeden VSA-Server
  • Ein Tool zur Fehlererkennung für Kunden, die ihre lokalen VSA-Server auf potenzielle Sicherheitsverletzungen testen möchten
  • Ein Patch für lokale VSA-Kunden (bereits entwickelt, wird derzeit getestet und validiert).

Sollte alles wie geplant verlaufen, können die VSA-Kunden von Kaseya ihre Server innerhalb der nächsten Stunden zum Laufen bringen.