{"id":255377,"date":"2021-07-03T18:15:15","date_gmt":"2021-07-03T16:15:15","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=255377"},"modified":"2023-01-09T11:30:04","modified_gmt":"2023-01-09T10:30:04","slug":"coop-schweden-schliet-800-geschfte-nach-kaseya-vsa-lieferkettenangriff-durch-revil-gang","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/07\/03\/coop-schweden-schliet-800-geschfte-nach-kaseya-vsa-lieferkettenangriff-durch-revil-gang\/","title":{"rendered":"Coop-Schweden schließt 800 Geschäfte nach Kaseya VSA-Lieferkettenangriff durch REvil-Gang"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Die genossenschaftlich organisierte schwedische Supermarktkette Coop musste Freitag-Abend und Samstag ihr 800 angeschlossenen Gesch\u00e4fte nach einem Ransomware-Angriff auf einen f\u00fcr Abrechnung und Kassensysteme zust\u00e4ndigen Dienstleister schlie\u00dfen. Das Ganze steht in direktem Zusammenhang mit dem Lieferkettenangriff auf die RRM Kaseya VSA und dem Folge-Cyber-Angriff auf mindestens acht gro\u00dfe US Managet Service Provider (MSP).<\/p>\n

<\/p>\n

Was \u00fcber Coop-Schweden bekannt ist<\/h2>\n

\"\"Coop-Schweden<\/a><\/i> ist eine genossenschaftlich organisierte schwedische Supermarktkette, die f\u00fcr gut 20% der Ums\u00e4tze in diesem Bereich verantwortlich ist. Vor einigen Stunden kam die Meldung (siehe z.B. nachfolgender Tweet<\/a> von Sicherheitsforscher Kevin Beaumont), dass Coop Schweden ihre 800 Ladengesch\u00e4fte geschlossen habe.<\/p>\n

\"Coop<\/a><\/p>\n

In den M\u00e4rkten wurden die Kunden am Samstag mittels Aush\u00e4ngen \u00fcber ein IT-Problem informiert.<\/p>\n

\"Coop<\/p>\n

Von Coop wurde sp\u00e4ter eine Stellungnahme auf der Webseite<\/a>\u00a0 herausgegeben, die in der Originalfassung nachfolgend zu sehen ist. Der Text besagt folgendes:<\/p>\n

\"Coop<\/a><\/p>\n

Im Moment sind viele unserer Filialen vor\u00fcbergehend geschlossen. Die folgenden Filialen sind NICHT betroffen und haben ge\u00f6ffnet: der Online-Shop auf coop.se, Filialen in V\u00e4rmland, Oskarshamn, Tabergsdalen, Norrbotten und Gotland.
\nEiner unserer Lieferanten ist von einem IT-Angriff betroffen und deshalb funktionieren die Kassen nicht. Wir entschuldigen uns daf\u00fcr und tun alles, um bald wieder zu \u00f6ffnen.<\/p><\/blockquote>\n

Die einzige harte Information besteht in der Information, dass einer der \"Lieferanten\" von einem IT-Angriff betroffen sei. Details nennt Coop-Schweden aber nicht. Diversen Berichten zufolge hofft Coop die L\u00e4nden am Sonntag wieder \u00f6ffnen zu k\u00f6nnen.<\/p>\n

Zahlungsdienstleister Visma EssCom betroffen<\/h2>\n

Nach meinen Informationen ist das Wort \"Lieferant\" eher als Dienstleister zu \u00fcbersetzen, denn es hat wohl den Dienstleister Visma EssCom, der f\u00fcr die Abrechnung und die Kassenterminals zust\u00e4ndig ist, getroffen. Auf seiner Webseite best\u00e4tigt der Dienstleister<\/a> einen Angriff.<\/p>\n

<\/p>\n

Software-Anbieter Kaseya von globalem Cyber-Angriff betroffen, der Einzelh\u00e4ndler betrifft<\/p>\n

Kaseya, ein Anbieter von Software f\u00fcr die Remote-Verwaltung und den Betrieb von Einzelhandels-Clients und -Servern, ist das Ziel eines Cyber-Angriffs, von dem derzeit Visma EssCom und viele andere Unternehmen weltweit betroffen sind.<\/p>\n

Durch den Angriff kann die von Visma EssCom und vielen anderen Dienstleistern im Einzelhandel eingesetzte Kaseya-Software genutzt werden, um einen Ransomware-Virus auf Clients und Server in den IT-Umgebungen der Kunden zu verbreiten.<\/p>\n

Die kritischste Folge ist, dass Einzelh\u00e4ndler ihre Kunden nicht belasten k\u00f6nnen, wenn ihre Kassen infiziert sind. Der Angriff auf Kaseya wurde am Freitagabend entdeckt.<\/p>\n

Visma hat alle verf\u00fcgbaren Ressourcen mobilisiert, um den Betroffenen gemeinsam mit unseren Partnern und Sicherheitsberatern zu helfen.<\/p><\/blockquote>\n

Der Dienstleister wurde also bereits Freitag Abend durch den Angriff auf Kaseya VSA betroffen, worauf sich eine Ransomware auf deren IT-Systemen ausbreiten konnte. Diese Infektion konnte bis Samstag nicht gel\u00f6st werden, weshalb keine Abrechnungen m\u00f6glich wurden. Die Kollegen von The Record berichten hier<\/a>, dass Fabian Mogren, CEO von Visma Esscom, gegen\u00fcber der schwedischen Presse best\u00e4tigt habe, dass sie einer der Software-Lieferanten von Coop sind und von dem Kaseya-Vorfall betroffen waren. Dar\u00fcber hinaus zeigt eine alte Pressemitteilung<\/a> aus dem Jahr 2009, dass Kaseya mit einem anderen Coop-Anbieter zusammengearbeitet hat, um eine breite Palette von Softwarel\u00f6sungen zu entwickeln.<\/p>\n

Der Lieferkettenangriff auf Kaseya VSA<\/h2>\n

Die Nacht hatte ich im Blog-Beitrag REvil Ransomware-Befall bei 200 Firmen \u00fcber Kaseya VSA und Management Service Provider (MSP)<\/a> \u00fcber den Lieferkettenangriff auf Kaseya VSA durch die REvil Ransomware-Gruppe berichtet. \u00dcber die Remote Management Monitoring (RMM) L\u00f6sung VSA gelang es der Gruppe, mindestens acht Management Service Provider (MSP), die als Dienstleister vielen Kunden die IT-Infrastruktur bereitstellen, mit Ransomware zu infizieren. Die Ransomware kam als Update f\u00fcr die VSA-Management-L\u00f6sung und hatte zur Folge, dass den MSPs der Zugriff auf die administrativen Zugriffe auf VSA-Server gesperrt wurden. Im Anschluss wurden die IT-Systeme durch die REvil Ransomware verschl\u00fcsselt.<\/p>\n

Das betrifft mindestens 200 Firmen, die Kunden dieser MSPs waren. H\u00f6rt sich alles so fern an, da das vor allem US-Unternehmen betroffen hat – der Zeitpunkt ist optimal gew\u00e4hlt, da der 4. Juli der Unabh\u00e4ngigkeitstag in den USA ist. Allerdings haben ich nach meinem Post des oben verlinkten Artikels zum REvil Ransomware-Befall in Facebook-Gruppen Administratoren gemeldet, die die Kyseya VSA-L\u00f6sung im Einsatz haben. Nach bisherigen Informationen konnten die VSA-Server aber schnell genug heruntergefahren werden, bevor die REvil-Ransomware aktiv werden konnte.<\/p>\n

Erg\u00e4nzende Informationen<\/h2>\n

Allerdings bin ich bei heise auf diesen Kommentar<\/a> gesto\u00dfen, wo ein Betroffener berichtet, dass sein Unternehmen die Kaseya VSA-Software \u00fcber Konica administriert einsetzt. Und deren Systeme wurden Freitag wohl verschl\u00fcsselt.<\/p>\n

\n

Kaseya Monitoring Konica<\/h3>\n

Hallo,<\/p>\n

wir haben diese Software zum Monitoring auf unseren Servern im B\u00fcro, die Betreuung erfolgt durch Konica. Gestern Abend wurde unser gesamtes System verschl\u00fcsselt, vielleicht auch im Zusammenspiel mit dem jetzigen Exploit f\u00fcr Drucker \/ Warteschlange. Ich hoffe die Sicherungen auf den NAS Festplatten intern und extern sind nicht befallen.<\/p>\n

Ich denke nicht, dass nur 40 Unternehmen betroffen sind.
\nWie aus dem Artikel hervorgeht war es doch bekannt das diese Software anf\u00e4llig ist? War es also grob fahrl\u00e4ssig sie weiterhin zu nutzen? Wahrscheinlich wird das rechtliche Konsequenzen haben. F\u00fcr Infos bin ich dankbar.<\/p><\/blockquote>\n

Einige, mir nicht bekannte, Hintergr\u00fcnde zur Kaseya VSA-L\u00f6sung gibt es in diesem Kommentar<\/a> – die Stichhaltigkeit der Aussagen kann ich aber nicht beurteilen.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Die genossenschaftlich organisierte schwedische Supermarktkette Coop musste Freitag-Abend und Samstag ihr 800 angeschlossenen Gesch\u00e4fte nach einem Ransomware-Angriff auf einen f\u00fcr Abrechnung und Kassensysteme zust\u00e4ndigen Dienstleister schlie\u00dfen. Das Ganze steht in direktem Zusammenhang mit dem Lieferkettenangriff auf die RRM Kaseya VSA … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4715,4328],"class_list":["post-255377","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-ransomware","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/255377","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=255377"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/255377\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=255377"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=255377"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=255377"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}