{"id":255447,"date":"2021-07-06T08:57:13","date_gmt":"2021-07-06T06:57:13","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=255447"},"modified":"2022-05-28T21:47:17","modified_gmt":"2022-05-28T19:47:17","slug":"kaseya-hack-betrifft-1-500-firmen-auch-deutschland-betroffen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/07\/06\/kaseya-hack-betrifft-1-500-firmen-auch-deutschland-betroffen\/","title":{"rendered":"Kaseya-Hack betrifft weltweit 1.500 Firmen, auch in Deutschland"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Der Lieferkettenangriff auf Kaseya VSA betrifft nach Angaben des Herstellers ca. 1.500 Firmen weltweit. Das geht aus einem Statusupdate vom 5. Juli 2021 hervor. Auch deutsche IT-H\u00e4user sind wohl unter den Opfern. Die REvil-Gruppe fordert derweil um die 70 Millionen US-$-L\u00f6segeld, um den Masterkey zum Entschl\u00fcsseln der Systeme freizugeben. Hier ein \u00dcberblick \u00fcber die neuesten Entwicklungen.<\/p>\n

<\/p>\n

\"\"Gestern hatte ich im Neues zum Kaseya VSA-Lieferkettenangriff und zum Coop-Schweden-Fall<\/a> berichtet, dass die REvil-Ransomware-Gruppe 1 Million infizierte Systeme f\u00fcr diesen Angriff reklamiert. Die Gruppe fordert um die 70 Millionen US-$-L\u00f6segeld, um den Masterkey zum Entschl\u00fcsseln der Systeme freizugeben. H\u00f6rt sich gigantisch an, aber es scheinen wohl auch schon niedrigere Summen, die Rede ist von 50 Mio. US-$, als Angebot auf dem Tisch gelegen zu haben.<\/p>\n

Kaseya-Statusupdate vom 5. Juli<\/h2>\n

In einem Statusupdate<\/a> vom 5. Juli 2021 gibt Kaseya an, dass dem Unternehmen weniger als 60 Kaseya-Kunden bekannt seien, die das VSA On-Premises-Produkt nutzten und direkt von diesem Angriff betroffen waren. Gemeint sind wohl Managed Service Provider, MSP, die IT-Services f\u00fcr mehrere andere Unternehmen bereitstellen. Damit verdreifacht sich die Zahl der betroffenen Kaseya-Kunden, war ursp\u00fcnglich doch von 20 Unternehmen die Rede.<\/p>\n

Liest man die Mitteilung von Kaseya, scheint die Zahl von 1 Million infizierten System, die REvil reklamiert, doch arg weit hergeholt zu sein. Denn obwohl viele der Kaseya VSA Kunden IT-Services f\u00fcr mehrere andere Unternehmen bereitstellen, sind nach den Erkenntnissen von Kaseya bisher insgesamt weniger als 1.500 Unternehmen betroffen.\u00a0 Der Herstellter schreibt, dass er keine Beweise gefunden habe, dass einer seiner SaaS-Kunden kompromittiert wurde. Und seit Samstag, dem 3. Juli, hat Kaseya keine neuen Berichte \u00fcber Kompromittierungen bei VSA-Kunden erhalten. VSA ist das einzige Kaseya Produkt, das von dem Angriff betroffen ist; alle anderen IT-L\u00f6sungen des Herstellers (als Complete-Module bezeichnet) sind nicht betroffen.<\/p>\n

\"Tweet<\/a><\/p>\n

Auf Twitter bin ich \u00fcber den obigen Tweet<\/a> gestolpert, der informiert, dass Kaseya zwei PowerShell-Scripte ver\u00f6ffentlicht habe, mit denen sich die kompromittierten oder angreifbaren Maschinen identifizieren lassen. Was st\u00f6rt, ist dass die Scripte auf einer Webseite liegen, die nichts mit Kaseya zu tun haben. Und man muss sich anmelden, um an die Scripte heran zu kommen. M\u00f6glicherweise hat jemand die von Kaseya kopiert und dort eingestellt. Auf der Kaseya-Webseite habe ich auf die Schnelle nichts dazu gefunden.<\/p><\/blockquote>\n

Deutsche Opfer bekannt?<\/h2>\n

Das Bundesamt f\u00fcr f\u00fcr Sicherheit in der Informationstechnik (BSI) schreibt in seiner gestrigen Mitteilung (siehe mein Artikel<\/a>), dass in Deutschland mehrere IT-Dienstleister und Unternehmen betroffen seien. Das BSI gibt aber keine Auskunft \u00fcber Details oder die Betroffenen, schreibt aber, dass kritische Infrastrukturen oder die Bundesverwaltung nach derzeitiger Kenntnis des BSI nicht betroffen sind. Bei Golem habe ich die Information gefunden, dass zwei deutsche Unternehmen sich beim BSI als betroffen gemeldet h\u00e4tten, ohne dass Namen genannt wurden.<\/p>\n

\"Kaseya<\/p>\n

Es bleibt also schwierig, herauszufinden, wer betroffen ist, solange sich die Betroffenen nicht \u00f6ffentlich erkl\u00e4ren. Ich habe mal etwas gesucht, ob ich da f\u00fcndig werden. So richtig viel Erfolg hatte ich nicht. Auf der deutschen Kaseya-Webseite<\/a> habe ich nur das Systemhaus Conform IT aus Henstedt-Ulzburg (bei Hamburg) als Referenzkunden gefunden, das die VSA-Software von Kaseya seit \u00fcber 10 Jahren einsetzt. Bei einer kurzen Suche auf deren Webseite konnte ich aber keinen Hinweis entdecken, dass diese Firma und deren Kunden vom Lieferkettenangriff betroffen waren.<\/p>\n

Von Blog-Lesern wurden mir noch Maris-IT aus Flensburg und Bolte IT (in der N\u00e4he von Kiel) als Unternehmen genannt. Auf der Webseite von Maris-IT habe ich ebenfalls keine Information zum Kaseya-Angriff gefunden. Lediglich die Firma Bolten IT hat zum 3. und 5. Juli 2021 auf ihrer Webseite<\/a> einen Angriff auf die eingesetzte VSA-L\u00f6sung einger\u00e4umt:<\/p>\n

Sehr geehrte Kunden,<\/p>\n

der Hersteller Kaseya des von uns eingesetzten \u201eManaged Service System\" wurde gehackt. Dabei wurde Zugriff auf Kaseyaserver der Systemh\u00e4user in den Rechenzentren erlangt. Die Angreifer nutzten die Systeme um massenhaft Angriffe auf die Endger\u00e4te der Kunden durchzuf\u00fchren. Trotz aller Vorsichtsma\u00dfnahmen wurden Systeme unserer Kunden verschl\u00fcsselt. Nun soll so L\u00f6segeld erpresst werden. Wir stehen in st\u00e4ndigem Kontakt mit dem Hersteller um Ihnen so schnell wie m\u00f6glich eine L\u00f6sung anbieten zu k\u00f6nnen und m\u00f6chten Sie hier \u00fcber den aktuellen Stand auf dem Laufenden halten.<\/p>\n

Was wissen wir und was nicht?<\/p>\n

Der Angriff begann bei uns am Freitag, 02.07.2021 um ca. 18:30 Uhr. Es gab parallel eine Attacke direkt auf eine Sicherheitsl\u00fccke in Windows (\u201ePrintNightmare\"), deren Ausnutzung wir gerade verhindern wollten. Dann stellte sich heraus, dass die Angriffe \u00fcber Kaseya erfolgten. Wir haben um 19:50 Uhr s\u00e4mtliche Verbindungen von und zu Kaseya gekappt. Daraufhin endeten die Attacken auf neue Ger\u00e4te. Um 21:00 Uhr informierte uns der Hersteller, dass er vermutlich Opfer eines Hackerangriffes geworden ist. Im Laufe des Abends stellte sich heraus, dass der Angriff wesentlich umfangreicher ist als urspr\u00fcnglich angenommen. Es wurden eine Vielzahl an Servern und Computern verschl\u00fcsselt, die zwischen 18:30 und 19:50 Uhr online waren. Die Verschl\u00fcsselung erfolgte mit einer sogenannten Ransomware die lokale Daten verschl\u00fcsselt und das ebenso im Netzwerk versucht. Es ist aktuell unklar, ob damit gezielt der Hersteller erpresst werden soll und es ein zentrales Entschl\u00fcsselungspasswort gibt.<\/p><\/blockquote>\n

Welche Kunden betroffen sind, wird verst\u00e4ndlicherweise nicht ausgef\u00fchrt. Unter diesem Gesichtspunkt bleibt weiterhin unklar, wie viele Kunden in Deutschland letztendlich betroffen sind. Erg\u00e4nzung: Golem hat in diesem Artikel<\/a> weitere Namen deutscher Firmen genannt, die VSA einsetzen, teilweise betroffen waren oder Gl\u00fcck hatten.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nREvil Ransomware-Befall bei 200 Firmen \u00fcber Kaseya VSA und Management Service Provider (MSP)<\/a>
\nCoop-Schweden schlie\u00dft 800 Gesch\u00e4fte nach Kaseya VSA-Lieferkettenangriff durch REvil-Gang<\/a>
\nNeues zum Kaseya VSA-Lieferkettenangriff und zum Coop-Schweden-Fall<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Der Lieferkettenangriff auf Kaseya VSA betrifft nach Angaben des Herstellers ca. 1.500 Firmen weltweit. Das geht aus einem Statusupdate vom 5. Juli 2021 hervor. Auch deutsche IT-H\u00e4user sind wohl unter den Opfern. Die REvil-Gruppe fordert derweil um die 70 Millionen … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-255447","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/255447","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=255447"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/255447\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=255447"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=255447"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=255447"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}