Kaseya-Angriff: Cybercrime-Erpresser fordern 70 Millionen US-Dollar

Die REvil-Bande bietet ein universelles Entschlüsselungstool für alle Opfer des Angriffs über Kaseya. Der Hersteller stellt Skripte zum Test der Systeme bereit.

In Pocket speichern vorlesen Druckansicht 169 Kommentare lesen

So stellt sich Kaseya es vor, mit VSA alle IT-Akvitäten zu verwalten und zu automatisieren.

(Bild: Kaseya)

Lesezeit: 5 Min.
Inhaltsverzeichnis

Über einen Zero-Day-Angriff konnte die Cybercrime-Bande REvil tausende Rechner kapern und Daten verschlüsseln. Sie nutzte dabei eine bislang unbekannte Sicherheitslücke in Kaseya VSA aus. Das ist eine Server-Software, über die Managed Service Provider die Systeme ihrer Kunden warten. Jetzt bietet REvil ein "universelles Entschlüsselungs-Tool" an – für 70 Millionen US-Dollar in Bitcoin. Das wäre nach dem Lösegeld von 40 Millionen US-Dollar, die die US-Versicherung CNA Financial im Mai angeblich bezahlte, eine neue Rekordsumme.

Über die Zero-Day-Angriffe auf Kaseya-VSA-Server erreichten die Kriminellen die Systeme tausender Firmen.

(Bild: Truesec)

REvil ist eine der führenden Cybercrime-Banden, die sich auf das Erpressen von Firmen spezialisiert hat, bei denen sie selbst oder einer ihrer Affiliates eingebrochen sind. Dazu bietet sie für kleinere Gangs Komplettpakete für "Ransomware as a Service" (RaaS) an und betreibt eine eigene "Enthüllungsplattform" im Tor-Netz, auf der sie gestohlene Daten der erpressten Opfer häppchenweise veröffentlichen. Dort bieten sie auch in einer aktuellen Meldung die "Verhandlungen" über einen universellen Decryptor an. Mit dem sollen alle Opfer innerhalb einer Stunde ihre Daten wiederherstellen können.

Das "Angebot" der REvil-Bande...

Der aktuelle Angriff über die Kaseya-Software ist insofern etwas Besonderes, als ein sogenannter Zero Day Exploit zum Einsatz kommt. Der nutzt als Einfallstor eine bislang unbekannte Sicherheitslücke, gegen die es noch kein schützendes Update des Herstellers gibt – das verspricht Kaseya für den heutigen Montagnachmittag. Bis zu dessen Erscheinen bleibt die Empfehlung, alle Installationen von Kaseya VSA offline zu nehmen. Mittlerweile stellt Kaseya zumindest Tools bereit, mit denen sich die VSA-Server und von denen gemanagte Endpunkte auf Anzeichen einer Infektion untersuchen lassen. Die Sicherheitsfirma Truesec liefert konkrete Indicators of Compromise, mit denen sich das auch in Eigenregie realisieren lässt.

Außerdem handelt es sich um einen sogenannten Supply-Chain-Angriff, bei dem die Opfer selbst gar nichts falsch gemacht haben, sondern über legitime Software kompromittiert werden. Ende vorigen Jahres traf es auf ähnliche Art Unternehmen, die die Netzwerkmanagement-Software Solarwinds Orion einsetzten. Sowohl Zero-Day-Exploits als auch Angriffe über die Suply-Chain gehören zu den fortgeschrittenen Angriffstechniken, die typischerweise von staatlich gelenkten Angreifern eingesetzt werden. Doch bei REvil handelt es sich eher um organisierte Kriminalität als um Geheimdienstaktivitäten.

Man darf gespannt sein auf die Reaktion der USA, wo es die meisten betroffenen Systeme gibt. Als die Cybercrime-Bande Darkside mit ihrem Ransomware-Angriff dafür sorgte, dass Teile der Benzinversorgung ausfielen, passierten plötzlich "Dinge". Die bereits gezahlten Bitcoins wurden irgendwie beschlagnahmt, die Tor-Onion-Site der Erpresser war plötzlich lahmgelegt und deren Command&Control-Infrastruktur ebenso.

Bis heute ist nicht klar, wer da genau aktiv wurde und wie sie all diese Dinge bewerkstelligt haben. Letztlich wurde das Darkside jedenfalls alles zu heiß, sie zogen sich öffentlich aus dem Ransomware-Business zurück. Das hat übrigens auch REvil schon mal getan, als sie sich vor ziemlich genau zwei Jahren mit den GandCrab-Gewinnen angeblich zur Ruhe setzten.