Erste Untersuchungen des Vorfalls zeigen, dass der Angriff über eine Schwachstelle in der VSA-Web-Oberfläche von Kaseya ausgelöst wurde.
Diese Schwachstelle hat es den Angreifern erlaubt, die Authentifizierungsmaßnahmen zu umgehen, in den VSA-Dienst vorzudringen und so den Angriff auszuführen. Ähnlich wie beim Angriff auf SolarWinds verbreitete sich die Ransomware über eine Art Lieferkette durch ein (bösartiges) Software-Update.
Experten sind sich einig, dass VSA grundsätzlich ein sehr vertrauenswürdiger Dienst ist. Das heißt, integrierte Systeme akzeptieren in der Regel alle Anfragen, die über den Dienst eingehen. Was das Patchen der Schwachstellen anbelangt, räumt Kaseya nach eigenen Aussagen der cloudbasierten Infrastruktur Priorität ein. Danach soll es dann einen Patch-Plan für On-Prem-Kunden geben.
Einer der größten Vorteile einer cloudbasierten Infrastruktur ist, dass Kaseya den Sicherheitspatch für Kunden ihrer SaaS-Plattform, automatisch bereitstellen kann. Wenn es darum geht, Ressourcen sicher und auf dem neuesten Stand zu halten, ist eine On-Prem-Infrastruktur potenziell schwierig zu managen. Als jüngst vier Zero-Day-Schwachstellen in Microsoft Exchange Server entdeckt wurden, hatten On-Prem-Nutzer mehr Probleme damit, die Lücken zu beheben – und das zu einem Zeitpunkt als diese bereits aktiv ausgenutzt wurden.
Kaseya hat seine Kunden gewissenhaft über das Problem informiert, Experten für die forensische Untersuchung hinzugezogen und die Kommunikation hinsichtlich der Fixes offen geführt. Das ist auf jeden Fall die richtige Vorgehensweise, wenn man Opfer eines Ransomware-Angriffs geworden ist.
Niemand sieht sich gern in einer vergleichbaren Situation, aber eine offene Kommunikation
trägt dazu bei, weitere Unternehmen zu sensibilisieren. Dazu kommt die Signalwirkung für andere Sicherheitsteams, sich verstärkt um die Teile der Infrastruktur zu kümmern, die bislang eine niedrigere Priorität hatten.
Die Besonderheiten von Ransomware-as-a-Service (RaaS)
Ransomware-as-a-Service (RaaS) wie REvil ermöglicht es sogenannten „Affiliates“ der betreffenden Gruppe, deren Dienste auf Basis eines Subskriptionsmodells zu nutzen – ausgeklügelte Angriffe mit vorgefertigter Malware. Dies ist ein Beispiel, wie Ransomware-Gruppen operativ immer raffinierter vorgehen. Sie werden geführt wie ein kleines Unternehmen, bieten eigene Services an, arbeiten ein wiederholbares Modell aus und investieren kontinuierlich in neue Taktiken und Technologien, die für den anhaltenden Erfolg des Produkts sorgen sollen.
Die wachsende Zahl RaaS-basierter Angriffe verlangt von Sicherheitsteams, bereits präventiv Lösungen
zu implementieren, welche die mit Ransomware verbundenen Risiken senken. Dies gilt auch für kleine und mittlere Unternehmen – von denen sich viele unter den Kunden von Kaseya befinden.
Die meisten Ransomware-Angriffe beginnen mit kompromittierten Anmeldeinformationen der Benutzer. Der häufigste Weg, über den Anmeldedaten gestohlen werden, ist mobiles Phishing.
Mitarbeiter werden über eine Vielzahl von privaten und beruflichen Apps angegriffen.
Unabhängig, ob per SMS, E-Mail, über soziale Medien oder Messaging-Plattformen von Drittanbietern – Angreifer sind mittlerweile ausgesprochen versiert darin, Social Engineering zu nutzen, um Anmeldeinformationen über die Anmeldung an Fake-Plattformen abzugreifen.
Sobald die Angreifer Zugriff erlangt haben, bewegen sie sich auf der Suche nach sensiblen Daten frei in der Infrastruktur, können Daten abziehen und anschließend die Malware hochladen, um Administratoren von den eigenen Ressourcen auszusperren, bis das Lösegeld gezahlt ist.
Was kleine und mittelgroße Firmen jetzt tun sollten
Kleine und mittlere Unternehmen verfügen vielleicht nicht über die Ressourcen eines Konzerns.
Inzwischen gibt es Sicherheitslösungen, die speziell für kleinere Unternehmen entwickelt wurden und einen vergleichbaren Schutz bieten. Management, Implementierung und Wartung sind aber deutlich vereinfacht.
Zugriffsmanagement, das Erkennen von Schwachstellen und anomalem Benutzer- und Dateiverhalten sind Funktionen, die moderne Sicherheitslösungen von Haus aus bieten sollten.
Wenn ein Benutzer oder ein Gerät versucht, sich mit der Infrastruktur zu verbinden, lässt sich über den Kontext erkennen, ob etwas kompromittiert wurde. Cloud Access Secure Broker (CASBs) und Zero Trust Network Access (ZTNA) ermöglichen es selbst schlanken IT- und Sicherheitsteams, unautorisierte Zugriffe auf die Infrastruktur als solche zu erkennen. Anschließend lassen sich automatische Abhilfemaßnahmen implementieren, die Benutzer oder Gerät daran hindern, sowohl auf die Cloud- als auch auf die On-Prem-Infrastruktur zuzugreifen, große Datenmengen herunterzuladen oder an sensible Daten heranzukommen, die von der Plattform automatisch klassifiziert werden.
Hank Schless, Lookout