International hohe Wellen schlägt der Cyber-Angriff durch Ransomware, bei dem Schwachstellen der Kaseya-Software ausgenutzt wurden, um in die Netzwerke einer noch nicht bekannten Zahl an Unternehmen einzudringen.
Der Ransomware-Angriff auf die digitale Lieferkette von IT-Services, in den das Softwareunternehmen Kaseya verwickelt ist, erweist sich als ein Weckruf für alle, die glauben, Cyber-Kriminalität würde sie nicht betreffen. Diese Attacke löste eine Infektionskette aus, die Tausende von Unternehmen kompromittierte.
Hacker und IT-Sicherheitsforscher haben Zugang zu vielen der gleichen grundlegenden Tools, um das Internet auf der Suche nach anfälligen Computern zu scannen. Durch die Infizierung von IT-Support-Organisationen wurde jedoch die schädliche Software auch an deren Kunden weitergegeben, wodurch sich die Auswirkungen vervielfachten. Bereits bei dem Angriff über die Software von Solarwinds ist ein ähnliches Konzept „erfolgreich“ gewesen.
Kaseya bietet eine Cloud-basierte Lösung namens VSA für Unified Remote Monitoring & Management zur vollständigen Kontrolle und Überwachung von Endpunkten und Unternehmensnetzwerken an. Die Cloud-Lösung wird von einer Vor-Ort-Instanz der Software – dem VSA Server – unterstützt, die Unternehmen in ihrem eigenen Netzwerk einsetzen. Dieser gewährt ihnen typischerweise administrativen Zugriff auf die jeweiligen Endpunkte, indem sie ein Active Directory-Dienstkonto verwenden, um die Endgeräte ihrer Kunden zu verwalten.
Cyber-Kriminelle, aus dem Umfeld der Russian REvil Group haben eine Reihe von Zero-Day-Schwachstellen im VSA Server von Kaseya ausgenutzt. Dadurch gelang es ihnen, Ransomware bei mindestens 1.000 Kunden von Kaseya rund um den Globus einzusetzen. Sie haben dabei die umfangreichen Berechtigungen genutzt, die dem VSA Server durch seine Active Directory-Integration gewährt werden.
Je nachdem, wie sorgfältig der Kaseya VSA Server in der Kundeninfrastruktur konfiguriert wurde, ist es sehr wahrscheinlich, dass nicht nur verwaltete Endpunkte wie die Kassen der schwedischen Supermarktgruppe Coop lahmgelegt wurden. Es ist auch zu erwarten, dass es in anderen Unternehmen zu weiteren Störungen kommt, zu Umsatzeinbußen und sogar zu einem kompletten Betriebsstillstand aufgrund der Abschaltung ihrer Active Directory Domain Controller.
Dieser Angriff zeigt, dass der Cyber-Krieg weit über den geschäftlichen Bereich hinaus und in die Gesellschaft hineinreicht. Es macht uns alle sicherer, wenn wir in der Lage sind, Lösegeld- und Erpressungsforderungen ins Leere laufen zu lassen. Dies erfordert aber, dass Unternehmen über angemessene Vorkehrungen für die Cyber-Vorsorge, die Reaktion auf Vorfälle und die Wiederherstellung im Katastrophenfall innerhalb ihrer Unternehmensverzeichnisdienste verfügen. Es sind diese Verzeichnisdienste, auf die sich über 90 Prozent der Unternehmen weltweit verlassen.
Wie groß ist also das Problem, mit dem die betroffenen Unternehmen nun konfrontiert sind? Neben dem Patchen der ursprünglichen Schwachstellen der Kaseya VSA-Software werden betroffene Unternehmen Schwierigkeiten haben, die Kontrolle über ihr Active Directory – und ihr Geschäft – wiederzuerlangen, wenn sie nicht über notwendigen Tools verfügen, die eine schnelle AD-Wiederherstellung gewährleisten.“
Guido Grillenmeier ist Chief Technologist EMEA von Semperis
