{"id":255973,"date":"2021-07-23T13:32:25","date_gmt":"2021-07-23T11:32:25","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=255973"},"modified":"2021-08-20T00:01:55","modified_gmt":"2021-08-19T22:01:55","slug":"kaseya-hat-nach-ransomware-angriff-entschlsselungstool-erhalten","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/07\/23\/kaseya-hat-nach-ransomware-angriff-entschlsselungstool-erhalten\/","title":{"rendered":"Kaseya hat nach Ransomware-Angriff Entschlüsselungstool erhalten"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Hoffnung f\u00fcr Opfer des Lieferkettenangriffs auf den US-Softwarehersteller Kaseya, in dessen Folge weltweit die Systeme von um die 1.500 Kunden mit Ransomware befallen und die gespeicherten Daten verschl\u00fcsselt wurden. Der Hersteller Kaseya hat nun wohl einen Generalschl\u00fcssel zum entschl\u00fcsseln erhalten und hofft so, die Daten der Kunden retten zu k\u00f6nnen. Erg\u00e4nzung:<\/strong> Wie es ausschaut, fordert Kaseya von den Opfern eine Unterschrift unter eine Vertraulichkeitserkl\u00e4rung (NDA), bevor es eine Entschl\u00fcsselungsl\u00f6sung gibt.<\/p>\n

<\/p>\n

Zum Hintergrund des Falls<\/h2>\n

\"\"Anfang Juli 2021 gab es einen erfolgreichen Lieferkettenangriff auf Kaseya VSA. Das ist eine Remote Management und Monitoring Software (RMM), die von vielen Managed Service Providern (MSPs) verwendet wird. Durch den Lieferkettenangriff wurde Malware auf alle Kundensysteme, bei denen VSA im Einsatz war, ausgeliefert. Ich hatte hier im Blog berichtet (siehe Links am Artikelende).<\/p>\n

In Folge der Malwareinfektion schlug der Verschl\u00fcsselungstrojaner der REvil Ransomware-Gruppe zu und verschl\u00fcsselte die IT-Systeme von weltweit ca. 1.500 Firmen. Bei der schwedischen Coop-Gruppe mussten 800 Superm\u00e4rkte schlie\u00dfen (siehe Coop-Schweden schlie\u00dft 800 Gesch\u00e4fte nach Kaseya VSA-Lieferkettenangriff durch REvil-Gang<\/a>).<\/p>\n

Nach und nach werden weitere Details bekannt. So wurde die f\u00fcr den Angriff ausgenutzte Schwachstelle im April 2021 an Kaseya gemeldet \u2013 und in deren Verwaltungs-Software ist eine seit 2015 bekannte Schwachstelle immer noch offen. Bekannt ist auch, dass die REvil-Gruppe erst 70 Millionen, sp\u00e4ter 50 Millionen US-Dollar f\u00fcr die Freigabe eines Generalschl\u00fcssels forderte. Allerdings ist diese Gruppe k\u00fcrzlich von der Bildfl\u00e4che verschwunden (siehe Server und Infrastruktur der REvil Ransomware-Gruppe ist abgeschaltet<\/a>).<\/p>\n

Kaseya hat einen Generalschl\u00fcssel<\/h2>\n

Am 22. Juli 2021 hat Kaseya in dieser Mitteilung<\/a> bekannt gegeben, dass man einen Universal Decryptor-Key f\u00fcr die verschl\u00fcsselten Daten \"von einem Dritten\" erhalten habe.<\/p>\n

On 7\/21\/2021, Kaseya obtained a decryptor for victims of the REvil ransomware attack, and we're working to remediate customers impacted by the incident.<\/p>\n

We can confirm that Kaseya obtained the tool from a third party and have teams actively helping customers affected by the ransomware to restore their environments, with no reports of any problem or issues associated with the decryptor. Kaseya is working with Emsisoft<\/a> <\/u>to support our customer engagement efforts, and Emsisoft has confirmed the key is effective at unlocking victims.<\/p>\n

We remain committed to ensuring the highest levels of safety for our customers and will continue to update here as more details become available.<\/p>\n

Customers who have been impacted by the ransomware will be contacted by Kaseya representatives.<\/p><\/blockquote>\n

Was da genau gelaufen ist, bleibt unklar. Sicherheitsforscher hatten gemutma\u00dft<\/a>, dass nur ein Opfer zahlen musste, um einen Schl\u00fcssel zu bekommen, der f\u00fcr alle Opfer die Entschl\u00fcsselung erm\u00f6glicht. Kaseya arbeitet mit Emsisoft bei der Entschl\u00fcsselung zusammen. Wer betroffen ist, muss sich mit dem Kaseya-Support in Verbindung setzen, um weitere Einzelheiten zu erfahren. (via<\/a>, via<\/a>)<\/p>\n

Kaseya fordert NDA von Opfern<\/h2>\n

Erg\u00e4nzung:<\/strong> Wie es ausschaut, fordert Kaseya von den Opfern eine Unterschrift unter eine Vertraulichkeitserkl\u00e4rung (NDA), bevor es eine Entschl\u00fcsselungsl\u00f6sung gibt. Ich bin gerade auf den nachfolgenden Tweet<\/a> gesto\u00dfen.\"Kaseya<\/a><\/p>\n

Dort hei\u00dft es, dass der Vertrieb von Kaseya nicht auf Kundenanfragen reagiere und falls doch was zur\u00fcckkommt, eine zu unterschreibende Vertraulichkeitsvereinbarung. Das ist ja wirklich das allerletzte.<\/p>\n

Die Sicherheitsforscher von Huntress haben diesen Blog-Beitrag<\/a> mit Details zum Lieferkettenangriff ver\u00f6ffentlicht.<\/p><\/blockquote>\n

\u00c4hnliche Artikel:<\/strong>
\nREvil Ransomware-Befall bei 200 Firmen \u00fcber Kaseya VSA und Management Service Provider (MSP)<\/a>
\nCoop-Schweden schlie\u00dft 800 Gesch\u00e4fte nach Kaseya VSA-Lieferkettenangriff durch REvil-Gang<\/a>
\nNeues zum Kaseya VSA-Lieferkettenangriff und zum Coop-Schweden-Fall<\/a>
\nKaseya-Hack betrifft weltweit 1.500 Firmen, auch in Deutschland<\/a>
\nNachbereitung zum Kaseya-Lieferkettenangriff<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Hoffnung f\u00fcr Opfer des Lieferkettenangriffs auf den US-Softwarehersteller Kaseya, in dessen Folge weltweit die Systeme von um die 1.500 Kunden mit Ransomware befallen und die gespeicherten Daten verschl\u00fcsselt wurden. Der Hersteller Kaseya hat nun wohl einen Generalschl\u00fcssel zum entschl\u00fcsseln erhalten … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4715,4328],"class_list":["post-255973","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-ransomware","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/255973","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=255973"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/255973\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=255973"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=255973"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=255973"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}