{"id":255422,"date":"2021-07-05T11:37:16","date_gmt":"2021-07-05T09:37:16","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=255422"},"modified":"2023-10-24T23:42:06","modified_gmt":"2023-10-24T21:42:06","slug":"neues-zum-kaseya-vsa-lieferkettenangriff-und-zum-coop-schweden-fall","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/07\/05\/neues-zum-kaseya-vsa-lieferkettenangriff-und-zum-coop-schweden-fall\/","title":{"rendered":"Neues zum Kaseya VSA-Lieferkettenangriff und zum Coop-Schweden-Fall"},"content":{"rendered":"

\"SicherheitZum 2. Juli 2021 gab es einen Lieferkettenangriff der Ransomware-Gruppe REvil auf den US Software-Hersteller Kaseya und dessen Remote Monitoring & Management-Software VSA. In dessen Folge sind nach neusten Einsch\u00e4tzungen bis zu 1.000 Kunden (darunter Coop-Schweden) \u00fcber IT-Dienstleister, die VSA einsetzten, von der REvil-Ransomware betroffen. War dieser Fall nun ein Weckruf, dass es weiter so, nicht m\u00f6glich ist? Oder haben wir den Genickschuss f\u00fcr die Zunft gesehen? Inzwischen liegen mir einige Informationen vor, die kein gutes Licht auf den Sachverhalt und die gesamte IT-Branche sowie bestimmte IT-Entwicklungen werden. Unter anderem muss das bargeldlose Zahlen hinterfragt werden, denn es zeichnet sich ab, dass der Angriff auf wenige Dienstleister ggf. ein ganzes Land oder sogar einen ganzen Kontinent lahm legen kann.<\/p>\n

<\/p>\n

R\u00fcckblick zum Kaseya VSA-Lieferkettenangriff<\/h2>\n

\"\"Zum 2. Juli 2021 gab es einen Lieferkettenangriff auf den US Software-Hersteller Kaseya, dessen Remote Monitoring & Management-Software (RMM) VSA eine Malware als legitimes Update an alle Kunden, die dieses Paket einsetzten, auslieferte. Die Malware war dann in der Lage, die von der RMM-Software \u00fcberwachten On-Premises-Systeme zu infizieren und mit der REvil Ransomware zu infizieren. Ich hatte die Details im Blog-Beitrag REvil Ransomware-Befall bei 200 Firmen \u00fcber Kaseya VSA und Management Service Provider (MSP)<\/a> zusammen getragen.<\/p>\n

Die Angreifer kamen einem Patch zuvor<\/h2>\n

Nach dem Motto \"dumm gelaufen\" deutet es sich an, dass US Software-Hersteller Kaseya gerade damit befasst war, eine 0-day-Schwachstelle zu patchen, als die REvil-Gruppe mit ihrem Lieferkettenangriff zuschlug. \u00dcber die Kollegen von Bleeping Computer<\/a> bin ich auf diesen Blog-Beitrag<\/a> des niederl\u00e4ndischen DIV CSIRT vom 4. Juli gesto\u00dfen.<\/p>\n

Wietse Boonstra, ein DIVD-Sicherheitsforscher, hat zuvor eine Reihe der Zero-Day-Schwachstellen [CVE-2021-30116] identifiziert, die derzeit bei den Ransomware-Angriffen genutzt werden. Nach der Entdeckung der Schwachstelle wurde auch Kaseya informiert. Dazu schreiben die Sicherheitsforscher, dass Kaseya sehr kooperativ war:<\/p>\n

From our side, we would like to mention Kaseya has been very cooperative. Once Kaseya was aware of our reported vulnerabilities, we have been in constant contact and cooperation with them. When items in our report were unclear, they asked the right questions. Also, partial patches were shared with us to validate their effectiveness. During the entire process, Kaseya has shown that they were willing to put in the maximum effort and initiative into this case both to get this issue fixed and their customers patched. They showed a genuine commitment to do the right thing. Unfortunately, we were beaten by REvil in the final sprint, as they could exploit the vulnerabilities before customers could even patch.<\/p><\/blockquote>\n

W\u00e4hrend der US-Hersteller noch mit den DIVD-Sicherheitsforschern einen Patch f\u00fcr die Schwachstelle evaluierte, schlug die REvil-Ransomware-Gang zu und nutzte die Schwachstelle, um ihre Schadsoftware als Update an VSA-Kunden zu verteilen. Details zur Schwachstelle sind bisher aber nicht offen gelegt. Die obigen Informationen erkl\u00e4ren aber immerhin, warum Kaseya bereits fr\u00fchzeitig behaupten konnte, dass die 0-day-Schwachstelle bekannt sei und zeitnah in VSA gefixt werde.<\/p>\n

An dieser Stelle auch mein Hinweis, dass ich aus der Nutzerschaft einige Hinweise erhielt, die Kaseya VSA nicht in wirklich gutem Licht darstellen. Veraltete Software, die von Low Budget-MSPs auf Kundensystemen eingesetzt wird. Der Kommentar hier im Blog<\/a> adressiert dies, wobei ich die Stichhaltigkeit nicht verifizieren kann.<\/p><\/blockquote>\n

Schwerpunkt der Betroffenen<\/h2>\n

Sicherheitsanbieter ESET gibt in diesem Artikel<\/a> einen \u00dcberblick \u00fcber den Umfang des Befalls und hat auf Twitter<\/a> eine Karte mit den Betroffenen ver\u00f6ffentlicht. Auch deutsche Nutzer sind wohl darunter, obwohl mir keine Details bekannt sind.<\/p>\n

\"Kaseya<\/a><\/p>\n

Inzwischen sind die meisten VSA-Server heruntergefahren, wie ich in diesem The Record-Artikel<\/a> und bei Bleeping Computer<\/a> gelesen habe (die Info stammt aber vom oben erw\u00e4hnten DIVD). In diesem Beitrag<\/a> legen die Kollegen von Bleeping Computer offen, was die REvil-Gruppe an Ransomware fordert.<\/p>\n