{"id":255370,"date":"2021-07-03T01:58:03","date_gmt":"2021-07-02T23:58:03","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=255370"},"modified":"2021-07-03T18:33:43","modified_gmt":"2021-07-03T16:33:43","slug":"revil-ransomware-befall-bei-200-firmen-ber-kaseya-vsa-und-management-service-provider-msp","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/07\/03\/revil-ransomware-befall-bei-200-firmen-ber-kaseya-vsa-und-management-service-provider-msp\/","title":{"rendered":"REvil Ransomware-Befall bei 200 Firmen über Kaseya VSA und Management Service Provider (MSP)"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Es ist mal wieder ein wahrgewordener Alptraum f\u00fcr die IT-Landschaft. Der REvil Ransomware-Gruppe ist ein Angriff \u00fcber Management Service Provider (MSP) gelungen. In der Folge wurden die Server von 200 Firmen durch die Ransomware verschl\u00fcsselt. Es sieht wohl so aus, dass die IT-Management-Plattform Kaseya kompromittiert wurde. Das Ganze ist so etwas wie der SolarWinds Lieferkettenangriff auf deren Orion-Software, nur dass es diesmal eine Ransomware war.<\/p>\n

<\/p>\n

Was ist Kaseya VSA?<\/h2>\n

\"\"Kaseya VSA ist eine Cloud-basierte MSP-Plattform, mit der Anbieter Patch-Management und Client-\u00dcberwachung f\u00fcr ihre Kunden durchf\u00fchren k\u00f6nnen (RMM-L\u00f6sung, Remote Management Monitoring).\u00a0 Der Hersteller beschreibt<\/a> VSA als Anwendungen f\u00fcr Fernzugriff und Endpunktverwaltung. <\/em>Die Software, Kaseya VSA, ist bei sogenannten Managed Service Providern (MSP) beliebt, die IT-Infrastruktur f\u00fcr Unternehmen bereitstellen, die diese Dinge lieber auslagern als selbst zu betreiben. Ein Hack des MSP \u00fcber eine kompromittierte RMM-Software wie Kaseya VSA (oder SolarWinds Orion) bedeutet, dass man Zugang zu dessen Kunden hat.<\/p>\n

Kaseya VSA wohl kompromittiert<\/h2>\n

Brett Callow<\/a>, Sicherheitsanalyst von Emsisoft, hat auf Twitter<\/a> auf die Meldung des Kaseya-Helpdesk hingewiesen, die auf einen Hack hinwiesen und empfiehlt Kunden, die Kaseya VSA einsetzen, direkt deren Server herunterzufahren. Denn es besteht Gefahr, bei einem Befall den administrativen Zugriff zu verlieren.<\/p>\n

\"Kaseya<\/a><\/p>\n

Auf den Helpdesk-Seiten des Anbieters Kaseya wird ein Angriff best\u00e4tigt, dort hei\u00dft es zum 2. Juli 2021:<\/p>\n

\n

Important Notice July 2nd, 2021<\/h4>\n

We are experiencing a potential attack against the VSA that has been limited to a small
\nnumber of on-premise customers only as of 2:00 PM EDT today.<\/p>\n

We are in the process of investigating the root cause of the incident with an abundance
\nof caution but we recommend that you IMMEDIATELY shutdown your VSA server until
\nyou receive further notice from us<\/u><\/strong>.<\/p>\n

Its critical that you do this immediately, because one of the first things the attacker does
\nis shutoff administrative access to the VSA.<\/u><\/strong><\/p><\/blockquote>\n

\"Kaseya<\/p>\n

Der Hersteller best\u00e4tigt einen Angriff auf sein VSA-Produkt, dass eine kleine Anzahl von On-Premises-Kunden betroffen habe. Klingt bis zu diesem Punkt irgendwo noch alles sehr harmlos.<\/p>\n

REvil infiziert mindestens 200 Firmen<\/h2>\n

Auf reddit.com gibt es seit einigen Stunden diesen Thread<\/a>, der \u00fcber einen gr\u00f6\u00dferen Ransomware-Befall informiert. Dort hei\u00dft es hier<\/a>:<\/p>\n

Update 1 – 07\/02\/2021 – 1417 ET<\/p>\n

We are tracking four MSPs where this has happened and working in close collaboration with two of them. Although all four are running Kaseya VSA, we have not validated that VSA is being exploited (not fair at this time to say \"Kaseya has been hacked\" without evidence). Here's validated indicators of compromise:<\/p>\n