{"id":219763,"date":"2019-06-26T00:47:08","date_gmt":"2019-06-25T22:47:08","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=219763"},"modified":"2024-03-31T20:14:05","modified_gmt":"2024-03-31T18:14:05","slug":"managed-service-providern-msp-gehackt-ransomware-an-kunden-verteilt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/06\/26\/managed-service-providern-msp-gehackt-ransomware-an-kunden-verteilt\/","title":{"rendered":"Managed Service Provider (MSP) gehackt, Ransomware an Kunden verteilt"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>Hacker ist es gelungen, in die Infrastruktur von drei Managed Service Providern (MSP) einzudringen. Anschlie\u00dfend erhielten Kunden der Provider Malware zugespielt.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/dfe831a8cac140b196131ffe4c4b7909\" alt=\"\" width=\"1\" height=\"1\" \/>Die Infektion von Kunden durch Ransomware wurde wohl erstmals <a href=\"https:\/\/web.archive.org\/web\/20230702042001\/https:\/\/old.reddit.com\/r\/msp\/comments\/c2wls0\/kaseya_weaponized_to_deliver_sodinokibi_ransomware\/\" target=\"_blank\" rel=\"noopener noreferrer\">auf Reddit.com<\/a> diskutiert.<\/p>\n<blockquote><p>Kaseya weaponized to deliver sodinokibi ransomware<\/p>\n<p>I'm getting reports from a very large MSP Partner that Kaseya RMM tool was used to infect endpoints with sodinokibi ransomware.<\/p>\n<p>This is insanity.<\/p>\n<p>Has anyone else experienced anything like this recently?<\/p>\n<p>I'm suspecting some breach on Kaseya' aside but I can't confirm anything yet. Thoughts?<\/p><\/blockquote>\n<p>Der Anbieter <a href=\"https:\/\/www.kaseya.com\/\" target=\"_blank\" rel=\"noopener noreferrer\">Kaseya<\/a> wirbt mit einer integrierten Suite von IT-Service-f\u00e4higen, umsatzgenerierenden L\u00f6sungen f\u00fcr alle MSP- und IT-Anforderungen. Kunden k\u00f6nnen L\u00f6sungen f\u00fcr die \u00dcberwachung, Management, Sicherheit, Cloud, Kontinuit\u00e4t und mehr implementieren. \u00dcbernehmen Sie die Kontrolle und verwalten Sie die gesamte IT mit Kaseya. Sp\u00e4ter wurde im Reddit.com-Thread folgende Erg\u00e4nzung gepostet:<\/p>\n<blockquote><p>Based on our analysis, we have high confidence multiple unaffiliated MSPs were compromised by the same attackers abusing RMM and security tools to deploy Sodinokibi ransomware. To clarify the state of this situation, we're hosting a security briefing on Wednesday, June 26th at 11am ET. Our goal is to recap the situation which will include details not covered by this post or the media. We will also dive into some realistic best practices (besides enabling 2FA ;) that will help partners prevent, detect, respond, and recover from an incident like this.<\/p>\n<p>Please do the community a favor and share the word. Also, if you have any questions you'd like answered in advance, please email marketing[at]huntresslabs.com and we'll address them during the briefing.<\/p><\/blockquote>\n<p>Eine Ransomware-Bande hat die Infrastruktur von mindestens drei Managed Service Providern (MSPs) gehackt und die ihnen zur Verf\u00fcgung stehenden Remote-Management-Tools (RMM), die Webroot SecureAnywhere Konsole, genutzt, um Ransomware auf den Kundensystemen der MSPs einzusetzen.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">Hackers breach MSPs (remote IT firms) and use Webroot SecureAnywhere console to infect countless of customer PCs with the Sodinokibi ransomware<\/p>\n<p>Initial entry vector into MSPs was RDP.<a href=\"https:\/\/t.co\/LeMY3yetL0\">https:\/\/t.co\/LeMY3yetL0<\/a> <a href=\"https:\/\/t.co\/dORjw6YhWA\">pic.twitter.com\/dORjw6YhWA<\/a><\/p>\n<p>\u2014 Catalin Cimpanu (on vacation) (@campuscodi) <a href=\"https:\/\/twitter.com\/campuscodi\/status\/1141855725070749697?ref_src=twsrc%5Etfw\">20. Juni 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Catalin Cimpanu weist auf Twitter auf diesen Sachverhalt hin und hat <a href=\"https:\/\/www.zdnet.com\/article\/ransomware-gang-hacks-msps-to-deploy-ransomware-on-customer-systems\/\" target=\"_blank\" rel=\"noopener noreferrer\">einen Artikel<\/a> bei ZDNet dazu publiziert. Kyle Hanslovan, Mitbegr\u00fcnder und CEO von Huntress Lab, und half einigen der betroffenen MSPs bei der Untersuchung der Vorf\u00e4lle.<\/p>\n<p>Hanslovan sagte, dass die Hacker die MSPs \u00fcber exponiertes RDP (Remote Desktop Endpunkte) angegriffen haben. Damit erhielten sie erh\u00f6hte Berechtigungen innerhalb kompromittierter Systeme. Anschlie\u00dfend deinstallierten sie manuell AV-Produkte wie ESET und Webroot.<\/p>\n<p><img decoding=\"async\" title=\"KRITIS-Netzwerk\" src=\"https:\/\/i.imgur.com\/yNk8TvY.jpg\" alt=\"KRITIS-Netzwerk\" \/><br \/>\n(Quelle: Pexels <a href=\"https:\/\/www.pexels.com\/de\/u\/markusspiske\/\">Markus Spiske<\/a> CC0 Lizenz)<\/p>\n<p>In der n\u00e4chsten Phase des Angriffs suchten die Hacker nach Konten f\u00fcr Webroot SecureAnywhere, eine Fernverwaltungssoftware (Konsole), die von den MSPs zur Verwaltung von Remote Arbeitspl\u00e4tzen (im Netzwerk ihrer Kunden) verwendet wird.<\/p>\n<p>Laut Hanslovan nutzten die Hacker die Konsole, um ein Powershell-Skript auf entfernten Workstations auszuf\u00fchren, ein Skript, das die Sodinokibi-Ransomware heruntergeladen und installiert hat. Laut Huntress Lab wurden mindestens drei MSPs auf diese Weise gehackt.<\/p>\n<p>Sp\u00e4ter am Tag begann Webroot mit der zwangsweisen Aktivierung der Zwei-Faktor-Authentifizierung (2FA) f\u00fcr SecureAnywhere-Konten. Das geht aus einer E-Mail hervor, die Hanslovan erhielt. Die Hoffnung war, die Hacker daran zu hindern, alle anderen potenziell gekaperten Konten zu nutzen, um weiter neue Ransomware zu verteilen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Hacker ist es gelungen, in die Infrastruktur von drei Managed Service Providern (MSP) einzudringen. Anschlie\u00dfend erhielten Kunden der Provider Malware zugespielt.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[2564,4715,4328],"class_list":["post-219763","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-hack","tag-ransomware","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/219763","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=219763"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/219763\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=219763"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=219763"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=219763"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}