Zum 2. Juli 2021 gab es einen Lieferkettenangriff der Ransomware-Gruppe REvil auf den US Software-Hersteller Kaseya und dessen Remote Monitoring & Management-Software VSA. In dessen Folge sind nach neusten Einschätzungen bis zu 1.000 Kunden (darunter Coop-Schweden) über IT-Dienstleister, die VSA einsetzten, von der REvil-Ransomware betroffen. War dieser Fall nun ein Weckruf, dass es weiter so, nicht möglich ist? Oder haben wir den Genickschuss für die Zunft gesehen? Inzwischen liegen mir einige Informationen vor, die kein gutes Licht auf den Sachverhalt und die gesamte IT-Branche sowie bestimmte IT-Entwicklungen werden. Unter anderem muss das bargeldlose Zahlen hinterfragt werden, denn es zeichnet sich ab, dass der Angriff auf wenige Dienstleister ggf. ein ganzes Land oder sogar einen ganzen Kontinent lahm legen kann.
Anzeige
Rückblick zum Kaseya VSA-Lieferkettenangriff
Zum 2. Juli 2021 gab es einen Lieferkettenangriff auf den US Software-Hersteller Kaseya, dessen Remote Monitoring & Management-Software (RMM) VSA eine Malware als legitimes Update an alle Kunden, die dieses Paket einsetzten, auslieferte. Die Malware war dann in der Lage, die von der RMM-Software überwachten On-Premises-Systeme zu infizieren und mit der REvil Ransomware zu infizieren. Ich hatte die Details im Blog-Beitrag REvil Ransomware-Befall bei 200 Firmen über Kaseya VSA und Management Service Provider (MSP) zusammen getragen.
Die Angreifer kamen einem Patch zuvor
Nach dem Motto "dumm gelaufen" deutet es sich an, dass US Software-Hersteller Kaseya gerade damit befasst war, eine 0-day-Schwachstelle zu patchen, als die REvil-Gruppe mit ihrem Lieferkettenangriff zuschlug. Über die Kollegen von Bleeping Computer bin ich auf diesen Blog-Beitrag des niederländischen DIV CSIRT vom 4. Juli gestoßen.
Wietse Boonstra, ein DIVD-Sicherheitsforscher, hat zuvor eine Reihe der Zero-Day-Schwachstellen [CVE-2021-30116] identifiziert, die derzeit bei den Ransomware-Angriffen genutzt werden. Nach der Entdeckung der Schwachstelle wurde auch Kaseya informiert. Dazu schreiben die Sicherheitsforscher, dass Kaseya sehr kooperativ war:
From our side, we would like to mention Kaseya has been very cooperative. Once Kaseya was aware of our reported vulnerabilities, we have been in constant contact and cooperation with them. When items in our report were unclear, they asked the right questions. Also, partial patches were shared with us to validate their effectiveness. During the entire process, Kaseya has shown that they were willing to put in the maximum effort and initiative into this case both to get this issue fixed and their customers patched. They showed a genuine commitment to do the right thing. Unfortunately, we were beaten by REvil in the final sprint, as they could exploit the vulnerabilities before customers could even patch.
Während der US-Hersteller noch mit den DIVD-Sicherheitsforschern einen Patch für die Schwachstelle evaluierte, schlug die REvil-Ransomware-Gang zu und nutzte die Schwachstelle, um ihre Schadsoftware als Update an VSA-Kunden zu verteilen. Details zur Schwachstelle sind bisher aber nicht offen gelegt. Die obigen Informationen erklären aber immerhin, warum Kaseya bereits frühzeitig behaupten konnte, dass die 0-day-Schwachstelle bekannt sei und zeitnah in VSA gefixt werde.
Anzeige
An dieser Stelle auch mein Hinweis, dass ich aus der Nutzerschaft einige Hinweise erhielt, die Kaseya VSA nicht in wirklich gutem Licht darstellen. Veraltete Software, die von Low Budget-MSPs auf Kundensystemen eingesetzt wird. Der Kommentar hier im Blog adressiert dies, wobei ich die Stichhaltigkeit nicht verifizieren kann.
Schwerpunkt der Betroffenen
Sicherheitsanbieter ESET gibt in diesem Artikel einen Überblick über den Umfang des Befalls und hat auf Twitter eine Karte mit den Betroffenen veröffentlicht. Auch deutsche Nutzer sind wohl darunter, obwohl mir keine Details bekannt sind.
Inzwischen sind die meisten VSA-Server heruntergefahren, wie ich in diesem The Record-Artikel und bei Bleeping Computer gelesen habe (die Info stammt aber vom oben erwähnten DIVD). In diesem Beitrag legen die Kollegen von Bleeping Computer offen, was die REvil-Gruppe an Ransomware fordert.
- Managed Service Provider (MSP), deren Kunden von REvil-Ransomware betroffen waren, erhielten eine Forderung in Höhe von 5 Millionen US-Dollar für die Herausgabe des Entschlüsselungs-Keys.
- Endkunden, deren Systeme verschlüsselt wurden, sahen sich mit Forderungen zwischen 40.000 und 500.000 US-Dollar zur Entschlüsselung der Systeme konfrontiert.
Aktuell gibt es Spekulationen, ob 1 Million Systeme (laut Angabe der REvil-Gruppe) betroffen sind, bei einem Lösegeld-Preis von 45.000 US-Dollar kämen 45 Milliarden zusammen. The Record zitiert hier die Meldung der REvil-Gruppe und schreibt, dass die Gang 70 Millionen für einen Universalschlüssel fordert. Inzwischen hört man sogar von Preisnachlässen von 50 Millionen US-$ (siehe hier). Gegenüber Opfern "versichern" die Cyber-Kriminellen, dass keine Daten abgezogen wurden – ob es stimmt, steht auf einem anderen Blatt. Die Fristen zur Zahlung von Lösegeld sollen am 9. Juli 2021 bei einigen Opfern ablaufen. Da werden wir noch mehr zu lesen bekommen.
Ergänzung: Aktualisierte Statusupdates zur Entwicklung finden sich bei Huntress. Bei heise lese ich, dass sich ein deutscher Dienstleister beim BSI gemeldet habe, und mitteilte, dass seine deutschen Kunden betroffen seien. In der Pressemitteilung des BSI heißt es dazu:
Nach einem Cyber-Angriff auf einen amerikanischen Software-Hersteller ist es weltweit zu IT-Störungen gekommen. Zahlreiche IT-Dienstleister, deren Kunden und weitere Unternehmen sind Opfer von Verschlüsselungstrojanern, sogenannter Ransomware, geworden. Auch in Deutschland sind IT-Dienstleister und weitere Unternehmen betroffen. Nach aktuellem Kenntnisstand wurden mehrere Tausend IT-Geräte verschlüsselt.
[…] Nach derzeitigem Stand sind in Deutschland mehrere IT-Dienstleister und Unternehmen betroffen. Das BSI gibt keine Auskunft über die Betroffenen selbst. Kritische Infrastrukturen oder die Bundesverwaltung sind nach derzeitiger Kenntnis des BSI nicht betroffen.
Was mich ärgert, hier lese ich, dass der deutsche Industrieverband BDI eine »nationale Wirtschaftsschutzstrategie« fordert, um solche Attacken abzuwehren. »Noch nie wurde die deutsche Wirtschaft so stark angegriffen wie heute«, sagt Matthias Wachter, Leiter der Abteilung Sicherheit beim BDI. Lassen wir Wirtschaftsminister Altmeier oder Digital-Staatsekretärin Bär auf die Bühne, damit die eine Schutzstrategie aus dem Hut zaubern? Es sind doch die Unternehmen, die an allen Ecken und Enden sparen und auf "alternativlose Lösungen in Richtung Monokultur und Cloud samt Out-Sourcing der IT" einschwenken. Ich fürchte, dass das ganze Thema Sicherheit dem einen oder anderen Unternehmen das Genick brechen wird.
Shutdown der Coop-Läden in Schweden
Ich hatte ja im Blog-Beitrag Coop-Schweden schließt 800 Geschäfte nach Kaseya VSA-Lieferkettenangriff durch REvil-Gang berichtet, dass die schwedische Supermarktkette Samstag 800 Läden schließen musste. Grund war, dass ein Dienstleister von Coop, der für die Abrechnung und die Kassensysteme verantwortlich ist, über REvil angegriffen wurde. Da waren dann keine Zahlungsmöglichkeiten mehr gegeben. Blog-Leser Patrick hat mich auf ein Statusupdate von Coop hingewiesen. Hier die deutsche Übersetzung.
UPDATE: IT-Angriff auf Coop
Am Freitagabend, 2. Juli, kam es bei Coop zu größeren IT-Störungen, die unsere Kassen in den Filialen beeinträchtigten. Dies ist Teil eines größeren globalen Vorfalls, der auf das US-Softwareunternehmen Kaseya abzielt. Mehrere andere schwedische und internationale Unternehmen sind von demselben Ereignis betroffen.
Wir arbeiten intensiv daran, die Probleme so schnell wie möglich zu beheben.
Zusätzlich zu den Filialen in Värmland, Norrbotten, Oskarshamn, Tabergsdalen, Gotland und Varberg haben am Sonntag eine größere Anzahl von Filialen im ganzen Land geöffnet und nutzen unsere Scan & Pay-App, damit Kunden und Mitglieder in den Filialen einkaufen können. Leider ist diese Lösung noch nicht für alle unsere Filialen möglich, so dass einige Filialen leider geschlossen bleiben werden. Sie können die Seiten unserer Filialen in den sozialen Medien im Auge behalten, um den neuesten Stand zu erfahren.
Sie können auch wie gewohnt auf coop.se einkaufen und sich die Artikel entsprechend der an Ihrem Wohnort verfügbaren Lieferoptionen liefern lassen.
Der Vorfall ist ernst, weil er so weit verbreitet ist, und wir setzen unsere Bemühungen fort, um sicherzustellen, dass wir alle Filialen so bald wie möglich wieder öffnen können.
Sonntag konnten die Schweden zumindest wieder einen Notbetrieb fahren und über die Coop Scan & Pay-App bezahlen. Der Vorfall wirfst aber einen ganz anderen Aspekt auf.
Risiko: Angriff auf digitale Zahlungssysteme
Es kam hier im Blog bereits in Kommentaren auf, die sich kritisch über das Thema bargeldloses Zahlen äußerten. Der allgemeine Trend zum bargeldlosen Zahlen wirft durch den Coop-Vorfall plötzlich ein Schlaglicht auf dessen Schattenseiten. Die skandinavischen Länder gelten ja als Vorreiter des bargeldlosen Zahlungsverkehrs. Schießt ein Cyber-Angreifer aber einen der zentralen Dienstleister aus dem Rennen, steht ein ganzes Land, weil die Kassensysteme in den Läden nicht mehr funktionieren. Blog-Leser Patrick hat in einer Mail noch ein ganz anderes Fass aufgemacht, was niemand auf dem Radar hat:
der "Coop-IT-Angriff", über den du auch berichtet hast, zeigt
gleichzeitig ein ganz anderes Risiko auf, an das auch die Politik hier
im Land vielleicht überhaupt nicht denkt.Nun stelle man sich dazu die Zukunft mit der Elektromobilität vor, bei
der das Strom tanken wohl ausschließlich mit digitaler Bezahlung möglich
sein wird, wenn die Entwicklung sich fortsetzt. Hier würde ein gezielter
Cyberangriff auf die Bezahlsysteme ausreichen, um ein ganzes Land in den
Stillstand zu zwingen …
Patrik weist darauf hin, dass das Thema Bezahlen ohne Bargeld als Problem auch in Fefes Blog thematisiert wird. Die Gedanken sind ganz lesenswert – schöne neue Welt?
Ähnliche Artikel:
REvil Ransomware-Befall bei 200 Firmen über Kaseya VSA und Management Service Provider (MSP)
Coop-Schweden schließt 800 Geschäfte nach Kaseya VSA-Lieferkettenangriff durch REvil-Gang
Anzeige
Stichwort "Elektromobilität und Cyberangriff auf die Bezahlsysteme"
Aus meiner Sicht ändert das nichts. Normalerweise habe ich nie so viel Bargeld dabei, dass ich eine Tankfüllung Diesel an der Tanke bar bezahlen könnte. Sprich, ich zahle auch jetzt schon, und das seit ich Auto fahren kann, schon immer bargeldlos. Wenn das Maestro/EC-Kartensystem ausfallen würde, würde die Kagge nicht nur an der Tanke ordentlich dampfen.
"Schön" wird es dann auch, wenn die Verschlüsselungen gelockert werden, damit Geheimdienste bis GEZ die "bösen Terroristen" verfolgen können.
Das diese Lockerungen dann auch andere nutzen können, auf die Idee kam in der Politik wohl bisher noch keiner.
Doch, sämtliche Berater raten ab.
Und sie machen es trotzdem.
Die GEZ verfolgt Terroristen. Alles klar!
Nix Neues im Westen…
Wer erinnert sich nicht an die kleinen Häuschen der Grauen Post?
Dadrin waren nicht nur die Enden "der last mile" sondern zwei raumgroße Bleibatterien und hinten ein kleiner Dieselgenerator. (Natürlich auch ein WC.)
Diese -echte- Notstromversorgung war eines der ersten Dinge die im Zuge der Privatisierung und Digitalisierung (ISDN…) ausgebaut wurden. Diese versorgten die Endgeräte der Kunden im Notfall! Es gab zwar auch notstromfähiges ISDN-Gerät…was aber kaum ein Kunde wusste. Er sollte eine eigene UNSV kaufen…
Naja, und man denke an das Sirenen-Desaster…
"Machen wir modern, Digital ist ja Viiiiel billiger"
(BTW: Der diesjährige Sirenentesttag fällt aus :-))
Wir wollen uns an dieser Stelle doch kurz einmal an den Cyberangriff mit nachfolgendem Engpass bei der Treibstoffversorgung in den USA erinnern: Leitungen funktionieren, die Tanks sind voll und niemand kommt mehr an den Treibstoff ran?
Geldautomaten und digitale Kassensysteme sind bei der Abrechnung eine große Erleichterung. Doch am Anfang gab es immer noch ein Ausfallszenario, damit bei einer Störung nicht das Leben zum Stillstand kommt. Genau dieser Punkt wird trotz zunehmender, alleine vom Menschen bestimmter Abhängigkeit einfach ignoriert.
Sorry, da reden wir immer davon die einzige Möglichkeit der Entwicklung entgegen zu wirken sei, mit den Füßen abzustimmen. Und dann, ausgerechnet Leute die's eigentlich wissen müßten, machen als Erste bei dem Scheiß mit.
Eure ganzen Diskussionen über Cybersicherheit und wie man es machen müßte könnt ihr vergessen. Solange jeder neue Mist sofort dankbar angenommen wird, wird die Sache immer mehr ausufern und unkontrollierbarer werden. Macht euch nichts vor, die Entwicklung ist nicht mehr aufzuhalten. Ich sehe im Moment jedenfalls nichts und niemand der ernsthaft was dagegen unternehmen könnte oder wollte. Offenen Auges ins Verderben zu rennen ist ja nichts Neues in der Menscheitsgeschichte.
Als ich das letzte mal (noch vor dem großen C) in Schweden war, grinsten mich mehrheitlich Schilder an "Wir sind eine bargeldfreie Kasse". Bei manchen Dingen (z.B. Eintritte) ist die Wahl einfach Mitmachen oder draußen bleiben.
Ich sehe seit WannaCry die ganze Entwicklung sehr kritisch. Wir werden immer abhängiger von der Digitalisierung.
Aber sowohl die meisten Firmen, als auch die Politik hat noch nicht realisiert, auf welche Gefahr wir hier zu steuern. Man müsste viel mehr in die Sicherheit investieren, um das was schon bereits existiert zu schützen und nicht noch immer mehr und mehr dazu.
Leider gibt es keine 100% Sicherheit und die letzten Jahre ist das Thema Ransom abartig schlimm geworden.
Aus meiner Sicht haben hier auch Kryptowährungen das Ganze erst ermöglicht.
Ich befürchte, das wird die nächsten Monate und Jahre noch viel doller krachen…
Ich teile Deine Ansichten.
Nur ist dies für die Wirtschaft auch ein prima Weg, die Kosten für die IT Sicherheit zu sozialisieren.
Habe heute morgen mit einem Ohr im Radio mitbekommen, das die ersten Wirtschaftsverbände finanzielle Mittel vom Staat fordern, um ihre IT abzusichern.
Warum auch gut ausgebildete Admins vernünftig selber bezahlen, wenn der Staat doch als Melkkuh parat steht?
E-Autos: Wohl dem, der eine eigene Wallbox hat und sein Wagen in der eigenen Garage aufladen kann.
IT-Sec-Kosten sozialisieren: Ja geht's noch? Aber: Ich sehe da das BSI in der Pflicht, Handreichungen zu veröffentlichen, wie man seine EDV sicher und DSGVO-konform einrichtet. Warum soll das jeder Admin selber herausfinden und den nahezu unendlichen und unübersichtlichen Einstellmöglichkeiten. Es gibt eben nicht nur Super-Admins, die alles wissen.
Ideal wären Programme, die die Einstellungen vornehmen, erklären und dokumentieren, sodass man alles nachvollziehen kann. Das ganze als Open-Source, damit CCC und andere Profis sich das ansehen können. (Ein gute Beispiel hier wäre die Corona-App, trotz aller Schwierigkeiten, die es da gab, aber letztendlich wurde es gut.)
So könnte jeder beim neu Aufsetzen eines Systems diese Einstellungen vornehmen lassen und nachträglich, wenn man eigene Einstellungen vorgenommen hat, gegenprüfen lassen, ob man in der Hinsicht etwas "vermurkst" hat.
Das BSI wäre federführend und die letzte Instanz, um Vorschläge dann freizugeben.
Oder gibt es das schon?
" Ich sehe da das BSI in der Pflicht, Handreichungen zu veröffentlichen, wie man seine EDV sicher und DSGVO-konform einrichtet. "
Haben die ihr Handbuch wieder zurückgezogen oder warum forderst Du das?
Das hier? https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/sonstiges/Informationssicherheit_mit_System.html;jsessionid=BA1BF28E7C288E65D2C2D71B5441E130.internet462?nn=128656
Ja, fast. Das ist die Chef-Version(große bunte Bilder).
Da gibt es noch eine dicke Bleiwüsten-Version die ins Eingemachte geht.
Naja, das BSI wurde geschaffen um den Bundestag und die Ministerien zu schützen, ob die da genug Ressourcen haben, bezweifele ich mal ernsthaft.
Obendrein handelt es sich um eine staatliche Institution, der man nicht unbedingt, blind vertrauen sollte. Da hier auch auch andere Interessen vertreten werden.
Von "Klick & Alles ist Gut" kann man nur träumen, da nur die wenigsten Unternehmen gleich aufgebaut sind. Obendrein ergeben sich ständig neue Bedrohungen, auf die der Eine reagieren muß, der Andere nicht.
Da hilft eben nur selber informieren und auch reagieren.
Unternehmen wie MS sind da auch nicht sonderlich hilfreich. Es werden Patches herausgegeben und kurz darauf wieder zurückgezogen, Uhraltlücken werden ignoriert.
Und "Papa Staat"?
Naja, es sollen wohl zukünftig Lücken gesucht, gekauft und explizit ausgenutzt werden, ohne die an MS zu melden. Was die Sicherheit nicht eben erhöht.
Die Unterlagen zum BSI Grundschutz sind für Jedermann öffentlich einsehbar. Man muss sie nur verstehen und umsetzen!
Vielleicht sollte man neben Grundrente und Mindesteinkommen auch "Mundraub" einführen? Man darf soviel mitnehmen wie man essen kann, ohne bezahlen zu müssen…
" Schießt ein Cyber-Angreifer aber einen der zentralen Dienstleister aus dem Rennen, steht ein ganzes Land"
War Blockchain nicht dezentral?
Hat da wer gerade Bitcoin rulez gerufen?
"Lösegeld-Preis von 45.000 US-Dollar kämen 45 Milliarden"
hm, erinnert mich gerade an die Strorry mit den Dieben die
mehrere LKW 5-DM-Münzen geklaut hatten,
richtig viele und kurze Zeit später wurden diese gegen neue Nickelversionen getauscht und wertlos….trotz Silbergehalt.
Mit "richtigem Geld" kann man deutlich mehr erreichern gegen Kriminalität…
Im Text steht an mehreren Orten, dass der Angriff am 2. Juni stattgefunden hat. War das nicht am 2. Juli?
Ich denke das ist nur ein Tippfehler, denn überall ist von Freitag zu lesen. Also 2. Juli
War das der WEF mit seinem Cyber Polygon?
Die kündigen das schon so lange an…
Und bei Lidl kann man mit einem Bankkonto das einem nicht gehört bezahlen.
https://cc2.tv/daten/20210703100000.php
"Betrüger lieben offensichtlich Lidl Pay
Von meinem Konto bei der Comdirect Bank wurde Anfang Juni mehrfach Beträge von „Lidl Dig Trading GmbHCo" abgebucht. Einem Unternehmen mit dem ich nichts zu tun habe und für „Kaufverträge" die ich niemals abgeschlossen habe. …"