Sicherheitsexperten haben mehr als 1.000 Unternehmen identifiziert, deren Server nach einem Supply-Chain-Angriff auf das IT-Unternehmen Kaseya verschlüsselt wurden.
Foto: Mandel Ngan (Getty Images)Präsident Joe Biden hat US-Geheimdienste angewiesen, den ausgeklügelten Ransomware-Angriff zu untersuchen, der weltweit mehr als 1.000 Unternehmen gefangen hat, sagte er am Samstag während einer Reise nach Michigan, um seine Infrastruktur zu fördern Paket.
Bei einem der größten Ransomware-Angriffe in der Geschichte entführten die Hacker eine weit verbreitete Verwaltungssoftware des internationalen IT-Unternehmens Kaseya, um ein „bösartiges Update“ zu veröffentlichen, um ihre Malware „in Unternehmen auf der ganzen Welt“ bereitzustellen. the Record berichtet.
„Wir sind uns nicht sicher“, wer hinter dem Angriff am Freitag steckt, sagte Biden. “Der erste Gedanke war, dass es nicht die russische Regierung war, aber wir sind uns noch nicht sicher.” Er fügte hinzu, dass die USA reagieren würden, wenn sie feststellten, dass Russland die Schuld trägt.
Der Täter soll REvil sein, ein berüchtigtes cyberkriminelles Syndikat, von dem angenommen wird, dass es Verbindungen zu Russland hat, das zuvor gegen hochkarätige Ziele wie Apple und Acer vorgegangen ist an die Sicherheitsfirma Huntress Labs. Es wird auch angenommen, dass die Gruppe hinter dem erfolgreichen Angriff auf den weltgrößten Fleischverarbeitungskonzern JBS im letzten Monat steckt, der ein Lösegeld in Höhe von 11 Millionen US-Dollar erpresste.
Kaseya warnte Kunden am Freitag, ihre VSA-Server sofort herunterzufahren, nachdem sie einen Sicherheitsvorfall mit der Software entdeckt hatten. Kaseya verwendet seine VSA-Cloud-Plattform, um Software-Updates zu verwalten und an Netzwerkgeräte seiner Kundschaft zu senden, d. h. Managed Service Provider oder MSPs, die dann Remote-IT-Services an Hunderte kleinerer Unternehmen liefern, die diese Prozesse nicht intern durchführen können.
G/O Media kann eine Provision erhalten
World of Warcraft 60-Tage-Zeitkarte$24 bei EnebaVerwenden Sie den Promo-Code 20210704
Die genaue Mechanik und der Umfang des Angriffs werden immer noch aufgedeckt, aber Sicherheitsexperten glauben, dass die Hacker das VSA-Produkt von Kaseya ausgenutzt haben, um Malware zu verbreiten und die Dateien der Kunden dieser Anbieter zu verschlüsseln. Fred Voccola, CEO von Kaseya, sagte am Freitag in einem Update dass das Unternehmen glaubt, die Quelle der Schwachstelle gefunden zu haben und plant, einen Patch „so schnell wie möglich zu veröffentlichen, um unsere Kunden wieder zum Laufen zu bringen“. Zu diesem Zeitpunkt sagte er, dass weniger als 40 der Kunden von Kaseya bekannt seien, betroffen zu sein.
Wenn man jedoch bedenkt, wie viele dieser Kunden wahrscheinlich MSPs sind, könnte dies zu Hunderten kleinerer Unternehmen führen, die darauf angewiesen sind, dass ihre Dienste gefährdet sind. Huntress, das den Angriff öffentlich verfolgt hat, sagte über Reddit, dass es mehr als 1.000 Unternehmen identifiziert hat, deren Server und Workstations infolge des Angriffs verschlüsselt wurden. Ein mutmaßliches Opfer der Sicherheitsverletzung, der schwedische Einzelhändler Coop, hat am Wochenende mindestens 800 Geschäfte geschlossen, nachdem seine Systeme vom Netz genommen wurden, berichtet die New York Times. Der leitende Sicherheitsforscher von Huntress, John Hammond, sagte der Verkaufsstelle, dass die Hacker von einigen der betroffenen Unternehmen 5 Millionen US-Dollar Lösegeld forderten.
„Dies ist ein kolossaler und verheerender Angriff auf die Lieferkette“, sagte Hammond später in einer Erklärung gegenüber Reuters. Supply-Chain-Angriffe, bei denen Hacker eine einzelne Software ausnutzen, um Hunderte oder sogar Tausende von Benutzern gleichzeitig anzugreifen, werden schnell zur Technik de Jour für hochkarätige Cyberkriminelle. Die Hacker von SolarWinds verwendeten ein ähnliches Schema, um Netzwerkverwaltungssoftware zu infizieren, die von mehreren großen US-Bundesbehörden und Unternehmen verwendet wird.
In einem Update, das am Sonntagmorgen in Kaseyas Blog veröffentlicht wurde, sagte das Unternehmen, dass es mit dem FBI und der Cybersecurity and Infrastructure Security Agency zusammenarbeitet, um die Situation und die betroffenen Kunden anzugehen.
„Wir sind dabei, eine stufenweise Wiederinbetriebnahme unserer [Software as a Service]-Serverfarmen mit eingeschränkter Funktionalität und einem höheren Sicherheitsstatus (voraussichtlich in den nächsten 24-48 Stunden, aber Änderungen vorbehalten) zu formulieren geografischer Basis“, schrieb das Unternehmen. “Weitere Details zu den Einschränkungen, Änderungen der Sicherheitslage und dem Zeitrahmen werden heute in der nächsten Mitteilung veröffentlicht.”
Kaseya fügte hinzu, dass es fast 900 Kunden, die es angefordert hatten, ein neues „Kompromisserkennungs-Tool“ bereitgestellt hat und dabei ist, eine private Download-Site zu entwickeln um mehr Kunden Zugang zu verschaffen.
Alyse StanleyPostsEmailTwitter
Ich beschreibe Technik- und Videospiele für Websites wie Gizmodo, Polygon, The IndieGameWebsite und andere. Hobbys sind Nickerchen und groß sein.