Egal ob Tagesschau, Spiegel oder IT-Fachmedien: Die Ransomware-Attacke, die sich über das Management-Tool des US-amerikanischen IT-Dienstleisters Kaseya in Unternehmen weltweit eingeschlichen hat, ist in aller Munde.
Daher zunächst mal die gute Nachricht vorweg: Für Managed Service Provider und Kunden, bei denen eine der WatchGuard- bzw. Panda-Lösungen für Endpunktsicherheit im Einsatz ist, besteht kaum Grund zur Sorge. Das Endpoint-Security-Portfolio bietet Schutz gegenüber der bei diesem Kaseya-Angriff verwendeten Malware. Auch die Netzwerkprodukte von WatchGuard (Firebox), sind in der Lage, einen solchen Angriff zu erkennen – sofern die Übertragung der Malware über Proxies läuft, auf denen die Netzwerksicherheitsdienste von WatchGuard ihren Dienst verrichten.
Nichtsdestotrotz lohnt es sich, einmal genauer auf das Angriffsmuster zu schauen – allein schon deshalb, um auch gegenüber vergleichbaren Angriffen in Zukunft gerüstet zu sein. Springen wir also in der Zeit kurz zurück: Die ersten Auffälligkeiten auf Basis der WatchGuard-Daten zeigten sich Freitag, 2. Juli, kurz vor 16 Uhr Ortszeit. Obwohl hier nur Ereignisse auf Seiten von WatchGuard-Anwendern einfließen, deckt sich diese Zeitangabe auch mit weiteren Rückmeldungen aus dem IT-Security-Netzwerk. Seitdem rollt die Lawine. Ausgangspunkt des Hacks ist der Software-Zulieferer Kaseya. Über die On-Premises-Version der RMM-Software Kaseya VSA (Remote Monitoring and Management) wurden zunächst Managed Service Provider zum Opfer, wobei die Malware auch unmittelbar auf deren Kunden übergriff und relevante Systeme verschlüsselte. Von Produktionsausfällen ist bisher nichts bekannt, allerdings mussten aufgrund kompromittierter Kassensysteme am Wochenende beispielsweise Hunderte von Supermärkten in Schweden schließen. Nach jüngsten Angaben sind etwa 1.500 Unternehmen in 17 Ländern betroffen, wobei durchaus mit weiteren Meldungen zu rechnen ist. Mittlerweile liegt auch eine konkrete Lösegeldsumme vor: Die Hackergruppe „REvil“ fordert in Summe 70 Millionen Dollar. Im Gegenzug bietet sie eine Software, mit der sich die Verschlüsselung aller betroffenen Daten und Anwendungen weltweit aufheben lässt.
Alle Details auf „Secplicity“
Wie genau die Kriminellen ungepatchte Sicherheitslücken im Kaseya-Produkt ausnutzten, zeigen wir im englischsprachigen „Secplicity“-Blogbeitrag auf. Hier werden auch alle neuen Erkenntnisse zu diesem Wellen schlagenden Sicherheitsvorfall sukzessive ergänzt. Kaseya selbst arbeitet auf Hochtouren an der Schließung des Einfallstores. Die dringende Empfehlung lautet: Jeder, der einen On-Premises-VSA-Server nutzt (die SaaS-Version scheint nicht betroffen zu sein), sollte diesen ausschalten oder aus dem Netzwerk entfernen, bis Kaseya den Fix veröffentlicht.