Managed Service Provider (MSP) gehackt, Ransomware an Kunden verteilt

Hacker ist es gelungen, in die Infrastruktur von drei Managed Service Providern (MSP) einzudringen. Anschließend erhielten Kunden der Provider Malware zugespielt.


Anzeige

Die Infektion von Kunden durch Ransomware wurde wohl erstmals auf Reddit.com diskutiert.

Kaseya weaponized to deliver sodinokibi ransomware

I'm getting reports from a very large MSP Partner that Kaseya RMM tool was used to infect endpoints with sodinokibi ransomware.

This is insanity.

Has anyone else experienced anything like this recently?

I'm suspecting some breach on Kaseya' aside but I can't confirm anything yet. Thoughts?

Der Anbieter Kaseya wirbt mit einer integrierten Suite von IT-Service-fähigen, umsatzgenerierenden Lösungen für alle MSP- und IT-Anforderungen. Kunden können Lösungen für die Überwachung, Management, Sicherheit, Cloud, Kontinuität und mehr implementieren. Übernehmen Sie die Kontrolle und verwalten Sie die gesamte IT mit Kaseya. Später wurde im Reddit.com-Thread folgende Ergänzung gepostet:

Based on our analysis, we have high confidence multiple unaffiliated MSPs were compromised by the same attackers abusing RMM and security tools to deploy Sodinokibi ransomware. To clarify the state of this situation, we're hosting a security briefing on Wednesday, June 26th at 11am ET. Our goal is to recap the situation which will include details not covered by this post or the media. We will also dive into some realistic best practices (besides enabling 2FA ;) that will help partners prevent, detect, respond, and recover from an incident like this.

Please do the community a favor and share the word. Also, if you have any questions you'd like answered in advance, please email marketing[at]huntresslabs.com and we'll address them during the briefing.

Eine Ransomware-Bande hat die Infrastruktur von mindestens drei Managed Service Providern (MSPs) gehackt und die ihnen zur Verfügung stehenden Remote-Management-Tools (RMM), die Webroot SecureAnywhere Konsole, genutzt, um Ransomware auf den Kundensystemen der MSPs einzusetzen.


Anzeige

Catalin Cimpanu weist auf Twitter auf diesen Sachverhalt hin und hat einen Artikel bei ZDNet dazu publiziert. Kyle Hanslovan, Mitbegründer und CEO von Huntress Lab, und half einigen der betroffenen MSPs bei der Untersuchung der Vorfälle.

Hanslovan sagte, dass die Hacker die MSPs über exponiertes RDP (Remote Desktop Endpunkte) angegriffen haben. Damit erhielten sie erhöhte Berechtigungen innerhalb kompromittierter Systeme. Anschließend deinstallierten sie manuell AV-Produkte wie ESET und Webroot.

KRITIS-Netzwerk
(Quelle: Pexels Markus Spiske CC0 Lizenz)

In der nächsten Phase des Angriffs suchten die Hacker nach Konten für Webroot SecureAnywhere, eine Fernverwaltungssoftware (Konsole), die von den MSPs zur Verwaltung von Remote Arbeitsplätzen (im Netzwerk ihrer Kunden) verwendet wird.

Laut Hanslovan nutzten die Hacker die Konsole, um ein Powershell-Skript auf entfernten Workstations auszuführen, ein Skript, das die Sodinokibi-Ransomware heruntergeladen und installiert hat. Laut Huntress Lab wurden mindestens drei MSPs auf diese Weise gehackt.

Später am Tag begann Webroot mit der zwangsweisen Aktivierung der Zwei-Faktor-Authentifizierung (2FA) für SecureAnywhere-Konten. Das geht aus einer E-Mail hervor, die Hanslovan erhielt. Die Hoffnung war, die Hacker daran zu hindern, alle anderen potenziell gekaperten Konten zu nutzen, um weiter neue Ransomware zu verteilen.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Managed Service Provider (MSP) gehackt, Ransomware an Kunden verteilt

  1. Knut sagt:

    Kaseya mal wieder? Nicht das erste mal, dass die auffällig werden und durch Sicherheitslücken in deren Software Kundendaten abhanden bzw Kundensysteme infiziert wurden. Hier nur ein Artikel dazu aus 2018. Wenn ich mich recht erinnere gab es Ende 2018 Anfang 2019 noch einen Fall.

    https://www.lawrencesystems.com/the-kaseya-malware-attack-when-is-a-company-legally-liable-for-a-data-breach/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.