Nach Angaben der Sicherheitsbehörde sind Hunderte von amerikanischen Unternehmen von Ransomware betroffen. Sie greift an, indem sie mindestens 200 US-Netzwerke lahmlegt.
Laut John Hammond von Huntress Labs scheint die REvil-Gruppe, eine große russischsprachige Ransomware-Gruppe, hinter dem Angriff zu stecken.
Laut John Hammond, Forscher bei der Cybersecurity-Firma Huntress Labs, scheint die REvil-Gruppe, eine große russischsprachige Ransomware-Gruppe, hinter dem Angriff zu stecken.
Das Softwareunternehmen Kaseya nutzt sein Control Packet Network als Kanal für die Verteilung von Ransomware über Cloud-Anbieter.
Andere Forscher stimmten der Einschätzung von Hammond zu. Die Ransomware breitet sich auf Unternehmen aller Größen und Größenordnungen aus, sagte Hammond in einem direkten Tweet. Dies ist eine riesige und zerstörerische Lieferkette. Wenn sie automatisch aktualisiert werden, dringen diese Cyberattacken in der Regel in weit verbreitete Malware ein, die in der Software verbreitet wird.
Ransomware hits hundreds of US companies, security firm says https://t.co/ruOqcL2x7w
— The Boston Globe (@BostonGlobe) July 3, 2021
Es ist unklar, wie viele Kunden von Kaseya betroffen sein könnten und um wen es sich handeln könnte. In einer Erklärung auf seiner Website forderte Kaseya seine Kunden auf, Server mit der anfälligen Software sofort herunterzufahren.
Brett Callow, Ransomware-Experte bei der Cybersecurity-Firma Emsisoft, sagte, dass sich der Angriff auf eine kleine Menge beschränke. Er fügte hinzu, dass ihm solch groß angelegte Ransomware-Angriffe auf die Lieferkette bisher nicht bekannt waren.
Ransomware-Angriff
Ihm zufolge gibt es andere, aber die sind sehr trivial. Dies ist jedoch SolarWinds mit Ransomware.
Er verweist auf die im Dezember letzten Jahres entdeckte russische Cyber-Hacking-Aktivität, die sich durch die Infektion von Netzwerk-Management-Software verbreitete und in US-Bundesbehörden und Dutzende von Unternehmen eindrang.
Der Netzwerksicherheitsforscher Jack Williams von Rendition Infosec sagte, er habe mit sechs Unternehmen zusammengearbeitet, die von der Ransomware betroffen waren.
Er fügte hinzu, dass es kein Zufall sei, dass dies vor dem Wochenende des 4. Juli geschah, an dem IT-Profis generell Mangelware sind.
Ich bezweifle nicht, dass das Timing hier Absicht war, sagte Hammond von Huntress, der wusste, dass vier Hosting-Service-Provider (Unternehmen, die IT-Infrastrukturen für mehrere Kunden hosten) von Ransomware angegriffen wurden, die diese zur Verschlüsselung des Netzwerks verwendete.
Das Opfer bezahlt den Angreifer. Außerdem seien Tausende von Computern angegriffen worden. Wir haben derzeit drei Huntress-Partner, die von etwa 200 Krypto-Unternehmen betroffen sind, sagte Hammond.
Typischer Angriff auf die Lieferkette
Hammond schrieb auf Twitter: Nach dem, was wir jetzt sehen, glauben wir fest, dass es sich um REvil/Sodinikibi handelt. Das FBI meldete im Mai die gleiche Ransomware-Firma bei JBS, dem größten Fleischverarbeiter der Welt. Außerdem besteht ein Zusammenhang mit dem SA-Angriff.
Die Bundesbehörde für Infrastruktursicherheit und Cybersicherheit sagte am Freitag in einer Erklärung, dass sie die Situation genau beobachtet und mit dem FBI zusammenarbeitet, um weitere Informationen zu sammeln.
Die CISA fordert alle Betroffenen auf, den VSA-Server sofort herunterzufahren und den Anweisungen von Kasei zu folgen. Außerdem hat Kaseya den sogenannten Virtual System Manager (VSA) für die Fernverwaltung und -überwachung von Kundennetzwerken eingeführt.
Das private Unternehmen Kaseya hat seinen Hauptsitz jedoch in Dublin, Irland, und arbeitet mit den USA zusammen. Der Miami Herald bezeichnete es kürzlich in einem Bericht als eine der ältesten Technologiefirmen Miamis. Das Unternehmen plant, bis zum Jahr 2022 bis zu 500 Mitarbeiter einzustellen, um eine neu erworbene Cybersicherheitsplattform zu entwickeln.
Brian Honan, ein irischer Berater für Cybersicherheit, sagte am Freitag per E-Mail: Dies ist ein typischer Angriff auf die Lieferkette. Kriminelle haben einen vertrauenswürdigen Unternehmenslieferanten kompromittiert und dieses Vertrauen genutzt, um ihre Kunden anzugreifen.
Außerdem sei es für kleine Unternehmen schwierig, sich gegen diese Art von Angriffen zu verteidigen, weil sie nur auf die Sicherheit des Anbieters und der verwendeten Software vertrauen, so Williams von Rendition Infosec.
REvil – Stehlen Sie die Zieldaten
Viele unserer Kunden installieren Kaseya nicht auf jedem Rechner in ihrem Netzwerk. Das macht es für Angreifer schwierig, in die Computersysteme des Unternehmens einzubrechen. Das macht eine Wiederherstellung einfacher, sagte er. Eine Organisation namens REvil ist seit April 2019 aktiv und bietet Ransomware-Dienste an.
Das heißt, ich habe eine Software entwickelt, die das Internet beschädigt, und sie an die sogenannten Affiliates vermietet, die einen Großteil des Lösegelds erhalten haben. Das Netzwerksicherheitsunternehmen Palo Alt on the Network stellte in einem aktuellen Bericht fest, dass REvil zu den Ransomware-Gruppen gehört, die die Zieldaten stehlen, bevor die Ransomware aktiviert wird.
Die Gruppe hat ihre Ransomware-Bemühungen im vergangenen Jahr um etwa 500.000 US-Dollar erhöht. Einige Cybersecurity-Experten sagen voraus, dass die Bande nur schwer in den Griff zu bekommen sein wird.