Ransomware-Kampagne: Erfolgreiche Angriffe über Software Kaseya

07.07.2021
G DATA Blog

Ransomware-Wellen verursachen immer wieder Millionenschäden. Eine aktuelle Kampagne der REvil-Gruppe nutzt die Software Kaseya für Angriffe aus. Dr. Tilman Frosch, Geschäftsführer von G DATA Advanced Analytics, beantwortet fünf Fragen und schätzt die Lage für Deutschland ein.

International schlägt die Ransomware-Kampagne der REvil-Gruppe hohe Wellen, in Schweden ist eine ganze Supermarktkette geschlossen. Ist Deutschland auch schon betroffen?

Es ist davon auszugehen, dass auch deutsche Managed Service Provider (MSPs) und Systemhäuser das betroffene Produkt im Einsatz haben. Ein wichtiger Anteil von Kaseyas Geschäft ist es, seinen Kunden zu ermöglichen, Kaseyas Produkte unter eigenem Namen in eigene Produkte und Angebote zu integrieren. Der MSP weiß dadurch, dass er Kaseya einsetzt, was für Kunden des MSPs aber nicht unbedingt erkennbar ist. Die MSPs sind hier dringend in der Pflicht, ihre Kunden zu informieren und auch dem BSI eine Abschätzung möglicherweise betroffener Kunden zukommen zu lassen, um eine bessere Lageeinschätzung für den deutschen Raum zu ermöglichen.

Ausgangspunkt der Angriffe scheint, wie schon im Fall Solar Winds im vergangenen Jahr, eine kompromittierte Software zur Verwaltung von Unternehmensnetzwerken zu sein. Warum sind solche Lösungen so anfällig für Angriffe?

Was uns als Sicherheitsforschern seit Jahren klar ist, gelangt durch solche Fälle als Erkenntnis in ein breiteres Bewusstsein: Diese Lösungen sind nicht notwendigerweise anfälliger als andere Software, sie sind nur mit hohen Privilegien ausgestattet und haben eine hohe Verbreitung. Dadurch bieten sie einen großen Hebel für Angreifer, um mit einmaligem Aufwand vielfache Ernte einzufahren. Werkzeuge zur Verwaltung von IT-Systemen bieten sich natürlich an, aber jegliche Anbieter von on-premise installierter Software trägt dieses Risiko, wie wir alle spätestens seit NotPetya wissen sollten.

Damals nutzten die Täter ein Softwareupdate der im ukrainischen Wirtschaftsraum weit verbreiteten Software MeDoc, um flächig Schaden anzurichten. Es wäre naiv anzunehmen, dass die Infrastruktursicherheit bei Softwareanbietern einem gezielten Angriff besser widerstehen kann, als bei anderen hochtechnisierten Unternehmen. Auch im Entwicklungsprozess besteht bei dem einen oder anderen Softwareanbieter offenbar Nachholbedarf, was das Auffinden von Schwachstellen im eigenen Code oder die zeitnahe Behebung betrifft.

Tilman Frosch

Was uns als Sicherheitsforschern seit Jahren klar ist, gelangt durch solche Fälle als Erkenntnis in ein breiteres Bewusstsein: Diese Lösungen sind nicht notwendigerweise anfälliger als andere Software, sie sind nur mit hohen Privilegien ausgestattet und haben eine hohe Verbreitung. Dadurch bieten sie einen großen Hebel für Angreifer, um mit einmaligem Aufwand vielfache Ernte einzufahren.

Tilman Frosch

Geschäftsführer, G DATA Advanced Analytics

Der Fall Kaseya sieht ähnlich aus wie der SolarWinds Angriff, sind sie es auch im Detail?

Die Fälle sehen ähnlich aus, sind es im Detail aber nicht. Bei SolarWinds hatten wir es mit einem Supply Chain-Angriff zu tun, bei dem kompromittierter Code eingeschleust wurde. Im aktuellen Fall konnten Angreifer wohl eine Zero-Day-Schwachstelle in der Kaseya-Software ausnutzen, um sich Zugriff auf die Netzwerke zu verschaffen. Im zweiten Schritt wurde dann Ransomware aufgespielt und die Daten verschlüsselt.

Das ist nach aktueller Kenntnis korrekt und auch eine wichtige Unterscheidung. Dennoch handelt es sich auch hier um einen Angriff über die Supply Chain. Vor allem ist dieser Angriff eine erneute Erinnerung daran, wie verwundbar unsere digitalisierte Gesellschaft ist, wenn man den Hebel an der richtigen Stelle ansetzt.

Welche Schritte sollten Unternehmen jetzt unternehmen, die Kaseya einsetzen und bislang nicht betroffen sind?

Funktionierende Offline-Backups sicherstellen, on-premise Installationen von Kaseya VSA offline nehmen und bis auf Weiteres offline halten sowie die betroffene Infrastruktur durch einen qualifizierten Dienstleister auf einen erfolgreichen Angriff untersuchen lassen.

Ransomware ist, unabhängig von der aktuellen Welle, eine der größten Bedrohungen für Unternehmen. Welche Sicherheitstipps sollten Unternehmen umsetzen?

Was für ein Unternehmen sinnvoll und umsetzbar ist, ist immer individuell. Hundertprozentige Sicherheit kann nicht das Ziel sein. Als Unternehmer gehen wir Risiken ein. Wichtig ist, diese Risiken informiert, kalkuliert und bewusst einzugehen. Oft ist ein Security Assessment der richtige erste Schritt zu einem passenden Konzept. Trotzdem gibt es Maßnahmen, die eigentlich immer sinnvoll sind:

  • Geprüfte funktionsfähige Offline-Backups vorhalten,
  • Fernzugänge durch Zwei-Faktor-Authentifizierung schützen,
  • Nur signierte Makros in Officedokumenten erlauben oder die Ausführung von Makros ganz unterbinden,
  • Ausreichend lange und komplexe Passwörter wählen,
  • Durch Planung und Übung auf den Ernstfall vorbereiten,
  • Durch einen entsprechenden Rahmenvertrag den Zugriff auf einen erfahrenen Incident-Response-Dienstleister sichern,
  • In die Security Awareness der eigenen Mitarbeiter investieren und
  • In Security Monitoring der eigenen Infrastruktur.

Ransomware ist nicht das Erste, was ein Angreifer ausführt, Ransomware ist der letzte Schritt in der Verwertungskette. Mit adäquatem Security Monitoring kann man die Schritte davor durchaus sehen und handeln, bevor die eigenen Daten verschlüsselt sind. Und natürlich sollte man weiterhin eine aktuelle und leistungsstarke Endpoint-Protection-Lösung und sinnvolle Gateway-Lösungen einsetzen und deren Meldungen auch nicht ignorieren. An den Basics ändert sich nicht viel.

Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein