Kaseya vertreibt und entwickelt die Fernwartungssoftware VSA, die wiederum von sogenannten Managed Service Providern (MSP) dafür genutzt wird, die Computersysteme und Netzwerke ihrer Kunden zu warten und vor Angriffen zu schützen. Insbesondere kleine und mittelständische Unternehmen setzen auf solche Dienstleister, beispielsweise um Updates zentral einzuspielen und auf Bedrohungen und Angriffe angemessen reagieren zu können, ohne die Expertise selbst im Haus zu haben. Dafür benötigen die MSPs umfangreiche Berechtigungen für die von ihnen verwalteten Systeme – und eben eine entsprechende Software, die ihnen Zugang auch aus der Ferne gewährt. Und genau die hat sich am 02. Juli 2021 als Schwachstelle entpuppt.
Kaseya selbst bestätigt den erfolgreichen Angriff und gibt an, dass dank eines schnellen Eingreifens und eines ausgereiften Incident-Response-Plans Schlimmeres verhindert werden konnte und „nur“ 40 der nach eigenen Angaben 36.000 Kunden betroffen waren. Sie alle hatten die VSA-Software auf ihren eigenen Servern betrieben, anstatt den Dienst über die Cloud zu beziehen. Während die Zahl von 40 Opfern zunächst vergleichsweise gering klingt, muss man sich vor Augen führen, dass es sich dabei um MSPs handelt, die die Infektion wiederum an ihre Kunden weitergegeben haben. Die IT-Sicherheitsfirma Huntress Labs gibt an, mittlerweile von mehr als 1.000 betroffenen Unternehmen in 17 Ländern zu wissen. Auch in Deutschland könnten Unternehmen in Mitleidenschaft gezogen werden, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt.
Hinter dem Angriff steckt die Gruppe REvil, die bereits in den letzten Wochen mit der Attacke auf den Fleischverarbeiter JBS Schlagzeilen machte, bei dem sie 11 Millionen US-Dollar in Bitcoin erbeuten konnten. Dieses Lösegeld haben die Hacker beim aktuellen Fall noch einmal deutlich erhöht: Stolze 70 Millionen US-Dollar in Bitcoin fordern sie. Dafür soll ein Universalschlüssel veröffentlicht werden, mit dem alle betroffenen Unternehmen ihre Systeme in nur einer Stunde wiederherstellen können.
Die Beteiligung von REvil hat mittlerweile auch die US-Regierung und -Strafverfolgung auf den Plan gerufen, denn die Herkunft der Hacker wird in Russland vermutet. Bereits in der Vergangenheit hat US-Präsident Biden den Kreml dafür gerügt, dass er Cyberkriminelle in seinem Land einfach gewähren lasse. Und auch die Vermutung, dass es sich um russische „Staatshacker“ handelt, steht noch im Raum, auch wenn Biden mit konkreten Schuldzuweisungen vorsichtig ist und zunächst mitteilte, dass die russische Regierung dem ersten Eindruck nach nicht dahintersteckt, aber man dessen noch nicht sicher sei.
Sicher hingegen ist, dass Ransomware zu einem immer drängenderen Problem wird und durch Angriffe auf mehrstufige Konstrukte wie im aktuellen Fall immer weitere Kreise zieht. Besonders tragisch scheint diesmal der Zeitpunkt der Attacke gewesen zu sein, denn wie das niederländische Dutch Institute for Vulnerability Disclosure (DIVD) am Sonntag mitteilte, wusste Kaseya um die ausgenutzte Sicherheitslücke in seiner VSA-Software und arbeitete bereits daran, diese zu schließen. Doch leider war das Unternehmen nicht schnell genug – oder die Cyberkriminellen hatten auf irgendeinem Weg mitbekommen, dass ihr geplanter Angriffsvektor geschlossen werden sollte. Insgesamt sind sich Experten einig, dass Kaseyas Umgang mit dem Vorfall vorbildlich war – trotz der massiven Auswirkungen der Attacke. Die Schäden hätten noch deutlich massiver ausfallen können, hätte das Unternehmen nicht so schnell und konsequent reagiert.