[English]Es ist mal wieder ein wahrgewordener Alptraum für die IT-Landschaft. Der REvil Ransomware-Gruppe ist ein Angriff über Management Service Provider (MSP) gelungen. In der Folge wurden die Server von 200 Firmen durch die Ransomware verschlüsselt. Es sieht wohl so aus, dass die IT-Management-Plattform Kaseya kompromittiert wurde. Das Ganze ist so etwas wie der SolarWinds Lieferkettenangriff auf deren Orion-Software, nur dass es diesmal eine Ransomware war.
Anzeige
Was ist Kaseya VSA?
Kaseya VSA ist eine Cloud-basierte MSP-Plattform, mit der Anbieter Patch-Management und Client-Überwachung für ihre Kunden durchführen können (RMM-Lösung, Remote Management Monitoring). Der Hersteller beschreibt VSA als Anwendungen für Fernzugriff und Endpunktverwaltung. Die Software, Kaseya VSA, ist bei sogenannten Managed Service Providern (MSP) beliebt, die IT-Infrastruktur für Unternehmen bereitstellen, die diese Dinge lieber auslagern als selbst zu betreiben. Ein Hack des MSP über eine kompromittierte RMM-Software wie Kaseya VSA (oder SolarWinds Orion) bedeutet, dass man Zugang zu dessen Kunden hat.
Kaseya VSA wohl kompromittiert
Brett Callow, Sicherheitsanalyst von Emsisoft, hat auf Twitter auf die Meldung des Kaseya-Helpdesk hingewiesen, die auf einen Hack hinwiesen und empfiehlt Kunden, die Kaseya VSA einsetzen, direkt deren Server herunterzufahren. Denn es besteht Gefahr, bei einem Befall den administrativen Zugriff zu verlieren.
Auf den Helpdesk-Seiten des Anbieters Kaseya wird ein Angriff bestätigt, dort heißt es zum 2. Juli 2021:
Anzeige
Important Notice July 2nd, 2021
We are experiencing a potential attack against the VSA that has been limited to a small
number of on-premise customers only as of 2:00 PM EDT today.We are in the process of investigating the root cause of the incident with an abundance
of caution but we recommend that you IMMEDIATELY shutdown your VSA server until
you receive further notice from us.Its critical that you do this immediately, because one of the first things the attacker does
is shutoff administrative access to the VSA.
Der Hersteller bestätigt einen Angriff auf sein VSA-Produkt, dass eine kleine Anzahl von On-Premises-Kunden betroffen habe. Klingt bis zu diesem Punkt irgendwo noch alles sehr harmlos.
REvil infiziert mindestens 200 Firmen
Auf reddit.com gibt es seit einigen Stunden diesen Thread, der über einen größeren Ransomware-Befall informiert. Dort heißt es hier:
Update 1 – 07/02/2021 – 1417 ET
We are tracking four MSPs where this has happened and working in close collaboration with two of them. Although all four are running Kaseya VSA, we have not validated that VSA is being exploited (not fair at this time to say "Kaseya has been hacked" without evidence). Here's validated indicators of compromise:
- Ransomware encryptor is dropped to
c:\kworking\agent.exe
- The VSA procedure is named "Kaseya VSA Agent Hot-fix"
Andy Greenberg spricht in folgendem Tweet von einem monomentalen Cyber-Angriff und einem Alptraum-Szenario, was vor dem 4. Juli (US-Unabhängigkeitstag) wie ein Tsunami hereingebrochen sei.
Aktuell entwickelt sich das Ganze noch, aber Greenberg fasst es auf Wired zusammen. Offenbar ist es der REvil-Gruppe gelungen, das Produkt Kaseya VSA zu hacken. Anschließend konnte man über die kompromittierte VSA-Software wohl die Managed Service Providern (MSP), die das Produkt einsetzen, übernehmen. Kurz nach der Attacke verlieren die Administratoren den administrativen Zugriff auf die VSA Server. Und anschließend werden die Server-Instanzen der Kunden mit der REvil Ransomware verschlüsselt.
Die Kollegen von Bleeping Computer wurden vom Sicherheitsforscher John Hammond (Huntress) und Mark Loman (Sophos) mit Informationen versorgt. Beide bestätigen, dass es wohl einen Lieferkettenangriff auf Kaseya VSA gab.
- Laut Hammond legt Kaseya VSA eine agent.crt-Datei im Ordner c:\kworking ab, der für Updates von VSA verwendet wird.
- Anschließend wird ein PowerShell-Befehl gestartet, um die agent.crt-Datei mithilfe des Windows-Befehls certutil.exe zu entschlüsseln und eine agent.exe-Datei in denselben Ordner zu extrahieren.
- Die agent.exe ist mit einem Zertifikat von "PB03 TRANSPORT LTD" signiert und enthält eine eingebettete 'MsMpEng.exe' und 'mpsvc.dll', wobei die DLL der REvil-Verschlüsseler ist.
- Die MsMPEng.exe wird als LOLBin zum Starten der DLL verwendet, worauf das System verschlüsselt wird.
Bleeping Computer hat in seinem Beitrag mehr Details zusammen getragen. Denen liegt ein Erpresserschreiben der REvil Ransomware-Gang vor, in dem 5 Millionen US-Dollar Lösegeld zur Entschlüsselung gefordert werden. Ob die Forderung für allen Opfer so hoch ist, ist unbekannt.
Ergänzung: In der Sophos-Community gibt es noch diesen Beitrag, der einige Hinweise enthält, nach was man Ausschau halten soll.
Jedenfalls ist der Schaden jetzt schon recht hoch, der mit dem Lieferkettenangriff erfolgreich angerichtet werden konnte. Ich denke, diese Angelegenheit wird in den USA mächtig Staub aufwirbeln, so dass die Hintermänner der REvil-Gruppe intensiv gejagt werden.
Ergänzung 2: Die Einschläge kommen näher – über meinen Facebook-Post weiß ich, dass deutsche Firmen die Kaseya VSA-Lösung einsetzen. Und Coop Schweden hat heute 800 Geschäfte geschlossen gehalten, weil ein Dienstleister über REvil angegriffen wurde Coop-Schweden schließt 800 Geschäfte nach Kaseya VSA-Lieferkettenangriff durch REvil-Gang).
Anzeige
Geht es nur mir so oder fängt, Dank diverser Hacker-Gruppen, die gesamte IT aus dem Ruder zu laufen oder wird gefühlt immer unsicherer?
Geht mir genauso,
auch aus meinem "IT"-Bekanntenkreis sind auch viele dabei die sich immer mehr Gedanken machen – Raus aus der IT. Lieder haben die meisten noch einige Jährchen vor sich.
Aber was wäre die Alternative – die IT hat ja die Arbeitswelt schon erfolgreich durchseucht.
Das Grundproblem ist der stetige Konflikt zwischen Sicherheit und Bequemlichkeit (hier nehme ich auch niedrige Kosten mit rein). Die Funktionen der Endanwender in die Firmensoftware/Firmenstrukturen zu tragen war der Anfang vom Ende.
Ging mir auch so, ich bin jetzt raus aus der IT. Jeden Tag lese ich den Blog und weiß das die Entscheidung die Richtige war! Privat stelle ich immer mehr auf OpenSource um. Windows 11 habe ich auch kein Bock drauf. Die Virtualisierungsspielwiese mit 4 Nodes steht in der Ecke und wurde nach dem letzten Umzug nicht mal mehr angeschlossen!
Das Gefühl hab ich auch, aber vielleicht ist das nur meine subjektive Wahrnehmung.
Ich hab mich gerade mal gefragt, wieviele es wohl trifft, wenn sich jemand bei Adobe für paar Monate einschleust und alle Adobe-Produkte (Cloud-Software, Adobe-Reader etc.) infiziert und entsprechend alle Rechner mit installierter Adobe-Software kurz mal lahmlegt. xD
Ehrlich gesagt bin ich mir nicht sicher, ob es wirklich unsicherer wird oder schon immer war. Solche Attacken sind ja das nächste große Ding. Eine Art Kräftemessen, welche Ransome Gang schafft den größeren Hack. Und dann gibt es natürlich immer wieder große Panik, wenn so etwas passiert und ganz schnell stehen 10 Anbieter an deiner Tür und wollen dir die Next-Gen Lösung verkaufen, die aber dann genauso viele Sicherheitslücken hat wie die zuvorige, nur sind diese noch nicht bekannt. Ich habe eher das Gefühl, dass sich hier in den letzten Jahren ein Geschäftsmodell etabliert hat, welches nur darauf abzielt, die Dummen und Unwilligen mit halbgaren Sicherheitslösungen zu versorgen. Hauptsache Geld gemacht. Es ist halt auch ein schönes Gefühl sagen zu können "Die Anderen wissen schon was sie tun".
Fühlt sich für mich auch so an. Ich habe auch das Gefühl, dass in den Chefetagen zu sehr auf BWLer gehört wird. Die rechnen ihren Chefs vor, wie viel das Admin-Team und wie viel so eine Firma kostet. Natürlich versprechen solche Firmen wie Kaseya alles, was die Chefs hören wollen. Dass bei solchen Slogans sich manchem Admin die Nackenhaare aufstelle, verstehen Chef und BWLer als Angst vor Konkurrenz.
In den Mainstream-Medien wird halt nie erwähnt dass es sich bei den gehackten Systemen ausschließlich um Windows-Systeme handelt.
Den Lesern der Mainstream-Medien ist das ja auch egal. Die Fachleser wissen, dass bei REvil halt Windows-Systeme betroffen sind.
REvil mag Windows spezifisch sein, es sind aber auch Linux-Systeme im Netz die nicht wirklich sicher betrieben werden. Ich meine hier nur auf Windows zu zeigen zielt etwas zu kurz.
Wenn die Chefetage kein Geld für Sicherheit ausgeben will ist es egal welches OS den Server antreibt. Letztlich haben alle Systeme Lücken, das andere Systeme betroffen sind ist nur eine Frage der Zeit.
Das liegt nicht an den Hacker-Gruppen – die Lücken sind auch ohne Hacker da und warten darauf, ausgenutzt zu werden.
Wie wenn jemand mit einem Hammer an ein Haus schlägt und dieses daraufhin einstürzt (aka Pfusch am Bau).
Auch das mal wieder ein Grund, nicht alles "jemand anders" machen zu lassen, nur um Geld zu sparen, sondern in die eigene Betriebssicherheit zu investieren, z. B. Hardware, Personal und Weiterbildung.
Auch:
https://isc.sans.edu/forums/diary/Kaseya+VSA+Users+Hit+by+Ransomware/27598/
Eine der größten Sicherheitsrisiken der letzten IT-Jahrzehnte:
Dinge haben oder betreiben zu wollen, für die man selbst nicht ausreichend Ressourcen und vor allem Know-How hat, so dass man nicht mal deren Funktionsweise versteht und damit auch nicht die verbundenen Risiken. Und darauf dann das Geschäftsmodell aufsetzen.
Und wenn man das getan hat, lieber gar nicht mehr wissen wollen, was man sich da eingetreten hat.
Die Gier vieler Entscheider, wirklich jeden Scheiß haben zu wollen und dafür jeden faktischen Kontrollverlust in Kauf zu nehmen, macht das operative Geschäft in der IT eigentlich unbeherrschbar. Man soll dann zwar als verantwortlicher Admin die Sicherheit trotzdem gewährleisten, tut auch alles dafür, aber hat halt faktisch immer weniger unter Kontrolle.
Noch bin ich drin in diesem Mahlstrom des Irrsinns. Nur ist das Ziel, durch systematisches Einschalten externer Dienstleister für tickende Wunschpakete, ein anderes als früher: Schaden abwenden ist nahezu unmöglich geworden, es geht eigentlich nur noch um Schadensbegrenzung. Wenn's passiert, dann soll möglichst wenig betroffen sein. Möglichst kleine Schadenszellen, möglichst wenige Großschadenspunkte, Konzentration aufs Unvermeidliche, also Notfallmanagement.
Das klar zu kommunizieren hat erst mal geholfen. Das Management war zwar "not amused" und hat Kraft der eigenen Wassersuppe auch Diskussionen angetreten, dass IT-Sicherheitsprobleme nicht wirklich existieren, aber es war halt ausreichend "irritiert", um erst mal innezuhalten. Vielleicht mit dem Ergebnis, dass ich ein zu großer Störfaktor bin (das ich überhaupt einer bin, wurde mir schon mitgeteilt), aber das ist eh egal, wenn Leute mit Null Einblick in die technisch-fachlichen Hintergründe denken, einem seine Fachtätigkeit inhaltlich diktieren zu wollen.
Man sollte sich da nichts vormachen: es ist nicht wirklich die Traufe, sondern nur der Regen, wenn man als vermeintlicher Störfaktor angesehen wird und der Job deshalb in Gefahr gerät. Wenn der Betriebs-Elektriker vom Management angewiesen wird, Phase auf Masse zu legen, dann sollte der das tunlichst auch nicht machen. Und sich lieber eine andere Stelle suchen.
Macht man es doch, ist der Job auch in Gefahr und es blüht einem noch viel Schlimmeres.
Wenn der Laden so geführt wird, dann muss man sich halt zwischen Regen oder Traufe entscheiden. Oder hoffen, dass es die Mafia ist und man zur "Familie" gehört.
Ich finde übrigens auch die gerade viel bejubelten 0day Mikropatches schwer zu verantworten. Statt möglichst weitgehender Risikominimierung holt man sich dann einen Dienst auf alle Server, der bei einem Lieferketten-Angriff einem dann silent das Netzwerk übernehmen und in 0 Sekunden komplett die Kontrolle entziehen kann. Ohne ständig die Augen auf dem Geschehen und einen Finger auf dem Hauptstromschalter zu haben, ist das eine beachtliche Risikoquelle.
Die Branche ist überhitzt und verantwortungslos geworden.
Lasst Euch nicht unterkriegen.
Mir geht es ähnlich.
Seit Jahren bettel ich quasi die Geschäftsführung an, dass wir dringend mehr Ressourcen benötigen. Sowohl Personal als auch Budget. Aber es stößt auf taube Ohren.
Inzwischen frisst das am Laufen halten der vorhandenen IT soviel Zeit, dass man für dringende Verbesserungen kaum Zeit findet, bzw. gar nicht mehr hat.
Dabei müsste vor allem im Bereich Security massiv aufgerüstet werden.
Man kann hier noch so viel Energie und Engagement einbringen, aber wenn die Ressourcen die zur Verfügung stehen, nicht im Ansatz ausreichen, dann kann das nicht gut gehen.
Ich denke viele Kollegen im IT-Umfeld werden mit hier beipflichten.
Schade ist nur, dass am Ende die Admins immer die Leidtragenden sind…
Die IT-Sicherheit wird, wie der Katastrophenschutz, nur stiefmütterlich behandelt. Warum soll man in „abstrakte Gefahren" investieren, wo es dafür auch noch mehr Leute und Geld braucht? Das ist unpopulär, damit macht man keine Werbung.
Im Systemhausgeschäft wandelten sich viele Anbieter urplötzlich zum Management Service Provider (MSP). Sie kauften bekannte Rmote-Lösungen, stellten hier oder da noch vermeintliche Fachkräfte ein und die restliche Belegschaft bekam durch mehr Arbeit endlich mehr Anerkennung. Langjähriges Know-How… Was? Welche Standards? BSI-Grundschutz? Nie gehört. ISO 27001 oder VdS 10000? Sind das alte Filme? Daten und Informationen sind doch dasselbe, oder nicht? Backup mit einer Festplatte reicht.
Die Remote-Services schossen schließlich wie Pilze aus dem Boden. Plötzlich war man in der Servicewüste, pardon, blühenden Servicelandschaft willkommen. Na, weißt Du was BaaS ist? Everything is a service. 😉
Das Management oder die Endanwender erkannten in der zunehmenden Komplexität der IT, dass nur externe Dienstleister das Know-How und Personal bereitstellen können. Man verlässt sich auf den langjährigen Systemlieferanten, der jetzt seit zwei Monaten „sichere und komfortable Lösungen" (Remote-Services) anbietet. Das Beste: Günstiger als anerkannte Anbieter sind sie auch noch. Halleluja, da muss man sich um nichts mehr kümmern.
Ich selbst bin vor geraumer Zeit aus dem Systemhausgeschäft indirekt ins Gesundheitswesen gewechselt. Ich befasse mich seither mit der Telematikinfrastruktur (TI), die alle Akteure im deutschen Gesundheitswesen mit Konnektoren und diversen Diensten vernetzt. Da reist schon mal ein selbstständiger Fachinformatiker für Systemintegration (vor einem Jahr ausgelernt) aus 520 km (!) Entfernung zu einer niedergelassenen Hausarztpraxis an, um dort mit aller Selbstverständlichkeit eine externe Firewall nicht nur zu installieren, sondern auch zu konfigurieren. Er gab lediglich die benötigten Ports für die Software meiner aktuellen Arbeitgeberin sowie für die TI frei. Der Dienstleister, den wir beauftragt hatten, konnte das Personal für diesen Auftrag selbst nicht stellen und lebt ohnehin vom Projektgeschäft. Da zählt nur Masse statt Klasse.
Darum stellte ich fest:
Die Serviceprovider wachsen personell nicht im gleichen Tempo mit, wie sie Kunden dazugewinnen. Beim etablierten Personal kommt es deshalb zur Arbeitsverdichtung, manche steigen gar ganz aus und Schwups, wird aus Fähigkeit schließlich Fahrlässigkeit oder gar Unfähigkeit und aus Sicherheit wiederum Scheinsicherheit. Das gilt mehr oder weniger auch unfreiwillig für die internen IT-Abteilungen.
Es ist abenteuerlich zu beobachten, was sich momentan in der IT-Branche abspielt. Eure Eindrücke kann ich nur bestätigen. Ich bin auch der Meinung, dass die Einschläge zunehmen werden. Aber selbst dann wird es immer noch Unternehmen und Endanwender geben, die die Notwendigkeit, mehr Personal und / oder Budget bereitstellen zu müssen, nicht anerkennen werden.
Schauen wir mal, worüber in den kommenden Wochen und Monaten berichtet wird…
Amen 🙏
Ja das ist das generelle Problem.Die Infrastruktur in den Firmen speziell!!!
Ja alles am besten in die Cloud hoch.Die Daten an fremde Hände.Zur Steigerung noch die Nutzung von Hardware etc.
Die ganzen Probleme werden ja nur von Programmierern verursacht.Ein normaler User besitzt im allgemeinen keine Programmier-Kenntnisse.Gibts Cash von den Antiviren-Herstellern????
Ich würde das Problem nicht allein auf die Programmierenden schieben, sondern dies eher dem Management zuschreiben.
Dazu kann man Windows als gutes Beispiel nehmen. Windows 10 wurde am 29.07.20215 auf den Markt geworfen. Fertig geworden ist es nie, weil Microsoft immer wieder an Altlasten herumschraubt bzw. herumschrauben muss, weil man sich nicht vom Ballast trennt. Microsoft hat das Betriebssystem mit allerhand Funktionen oder Bloatware vollgestopft und damit den Sinn und Zweck eines Betriebssystems aus den Augen verloren. Kundenwünsche hier, Kundenwünsche da, aber an den Zielgruppen oft vorbei. Funktionen müssen meiner Meinung nach optional sein.
Ein Betriebssystem muss einfach nur ein Betriebssystem bleiben und kein Kino sein. Es muss das Prinzip "So viel wie nötig, aber so wenig wie möglich" gelten.
Das ist wie mit Mitarbeitern… Manche haben Zugriff auf Daten, die sie für ihre Arbeit gar nicht benötigen. Windows hat Features, die das Betriebssystem ebenfalls nicht braucht. Cortana, Candy Crush, Xbox, Tipps, Werbung und Co. lassen grüßen.
Man könnte Windows wunderbar verschlanken… Einstellungen an einem Ort wären schon mal wünschenswert, aber Microsoft hat sich dazu entschieden alles unnötig zu verschachteln. Wir könnten bei Office weitermachen, aber dann reden wir noch nächstes Jahr. 😉
Jedes System ist voll mit Bloatware. Windows hat, wie du sagst, das Problem mit den Altlasten. Auf der einen Seite ist deswegen Windows auch so beliebt, weil man Programme aus dem Jahr 95 immer noch betreiben kann und das kommt wohl in der Industrie häufiger vor als man denkt. Auf der anderen Seite sind die Nutzer und Programmierer aber selbst schuld. Microsoft versucht sich seit Windows 8 von dem Unterbau mit Altlasten und unsicheren Zugriffsrechten zu lösen. Aber niemand macht mit.
So ist es nun mal im sogenannten IT-System dieser Welt. Es geht auch gerade in allen Nachrichten durch. Mal sehen was morgen passiert.
Ein Herr Biden, in Funktion als US-Präsident, macht russische Hacker aus und will Russland streng bestrafen. Oh wie merkwürdig. Jedenfalls ist nun Nordkorea und vor allem China nicht als Quelle ausgemacht.
Das Problem ist doch ein anderes – oder doch wieder immer dasselbe?
Solange man Software auf den Markt bringt, die nicht sicher ist, so soll man sich nicht wundern. Das Problem ist doch nicht der Hacker. Das Problem ist seit Jahrzehnten jene Software für die der NSA und CIA und sonstige Geheimdienste Zugriff haben.
Diese wird nun dafür genutzt, dass geschasste Mitarbeiter sich einen Obolus verschaffen und sonstige Geldweitergaben. Was macht eigentlich die Schmiede der Hackersoftware, welche in der Schweiz und in Israel ansässig sind.
Gut, morgen werden wohl Einige nicht einkaufen können. Aber das eigentliche Problem wird nicht beseitigt!
Der Grund – Man will es nicht beseitigen!
Ergänzung – Ich hätte es auch noch reinschreiben können:
Ich haabe heute Morgen gehört, dass ein Datenschutzbeauftragter die öffentliche Hand untersagen will auf Fazebuk aufzutreten. Er hat Recht und das habe ich hier schon in stoischer Gelassenheit immer wieder als Urquelle allen Böses genannt. Datensicherheit und der Nichtzugriff von Hackern fängt bei Verbot von diesen asozialen und ausbeuterischen Diensten wie Google, Fazebuk, Zwischergedöns & Consorten an.
Was kommt nach den Hackerangriff als Vermeidungsstrategie – NICHTS!
Ich darf darauf hinweisen, dass das nur die höchste Spitze eines korrumpierenden Eisberges ist. Der Großteil geht jetzt schon in die Billionen Euro/ US-Dollar.
Die pdf glanzbroschüre von kaseya verspricht mehr als die Software hergibt!
Die Base ist aus den 90er und genauso verhält sich die Software im alltäglichen Gebrauch.
Der Schaden ist verheerend!
Möge diese Group mal darüber nachdenken,
Ob sie sich nicht selbst den Genickschuss angesetzt hat.
Verheerend ist auch wie simpel der exploit integriert wurde.
Nach meinen bisherigen nicht von Kaseya bestätigten Erkenntnissen reicht es vom IIs, api, erstellte procedures in der Datenbank die ein
Ausrollen der Befehle per procedure veranlasst hatte.
Die Injektion auf der VSA dauerte keine 30 Sekunden.
Mal schauen, wieviele Kunden und später es an Arbeitsplätze es kosten wird…
Glücklicherweise haben diverse virenscanner
Das Problem mit der Verschlüsselung eingedämmt..
Kleines aber bedeutsames Trostpflaster.