Kaseya-Angriff: Vectra kommentiert Jahrestag

Vorfall bei Kaseya gilt als bis dato größte Supply-Chain-Attacke

[datensicherheit.de, 05.07.2022] Eine Branche war in Aufregung: Über 1.000 betroffene Unternehmen, Lösegeldforderung im Bereich von 70 Millionen US-Dollar. „Der Cyber-Angriff der ,REvil‘-Gruppe, bei dem der IT-Dienstleister Kaseya als Vehikel missbraucht wurde, schlug vor genau einem Jahr – sowie in den Wochen danach – hohe Wellen und rückt den Begriff der Supply-Chain-Attacke ins öffentliche Bewusstsein“, kommentiert Andreas Riepen, „Head Central & Eastern Europe“ bei Vectra AI, im Rückblick.

Foto: Vectra AI

Andreas Riepen: Wichtig, sich daran zu erinnern, dass es viele Arten von Cyber-Attacken auf die Lieferkette gibt!

Kaseya als warnendes Beispiel

Riepen betont: „Ein Jahr nach den Meldungen rund um den Supply-Chain-Angriff auf Kaseya ist es wichtig, sich daran zu erinnern, dass es viele Arten von Cyber-Attacken auf die Lieferkette gibt:

• das Aushängeschild (SolarWinds),
• das enttäuschte Vertrauen (missbrauchte Administratorenrechte),
• der ,Mid Chain‘-Angriff (Kaseya).“

Kaseya-Vorfall war einzigartig – das Unternehmen selbst wurde nicht gehackt

„Was Kaseya einzigartig machte, war, dass das Unternehmen selbst nicht gehackt wurde“, so Riepen. Stattdessen seien Schwachstellen in der VSA-Software von Kaseya entdeckt worden, von der Kopien bei MSP (Managed Services Provider) gelaufen seien. Das Design der VSA-Software habe einen Mechanismus für jeden Server geboten, um einen Software-Agenten an ein verwaltetes System im Netzwerk des MSP-Kunden zu senden.

„Die VSA-Schwachstelle wurde ausgenutzt, ein benutzerdefinierter Ransomware-Agent wurde erstellt und automatisch auf allen verwalteten Systemen des MSP bereitgestellt“, berichtet Riepen. Dies sei die Verwendung von GPO (Group Policy Object) auf MSP-Ebene zur Verbreitung von Malware. Kein klassischer Supply-Chain-Angriff – „Kaseya wurde nicht gehackt und dazu verwendet, die Malware an die VSA-Server zu liefern – sondern eher ein Mid-Chain-Angriff“.

Kaseya lässt Vertrauen in MSP-Sicherheitspraktiken überdenken

„Lektion gelernt? Wenn Unternehmen die Verwaltung ihrer Systeme an einen Dienstleister auslagern, der Software in das Herz des Netzwerks des Unternehmens einschleusen kann, muss das betroffene Unternehmen sicherstellen, dass es diese Tatsache in das Risiko-Register aufnimmt“, führt Riepen aus.

Viel häufiger und fundierter sollten sich die IT-Verantwortlichen fragen, „wie viel Vertrauen sie in die Sicherheitspraktiken des MSP setzen, und wie es um die Software bestellt ist, die sie verwenden, um ihre Systeme zu verwalten“.

Weitere Informationen zum Thema:

datensicherheit.de, 10.07.2021
Kaseya: Cyber-Kriminelle missbrauchen Ransomware-Vorfall für Phishing-Attacken / Phishing-Mails können z.B. aktuell Betreffzeilen enthalten, welche zum Update von Kaseya VSA auffordern

datensicherheit.de, 09.07.2021
Kaseya als Fanal: Unternehmen sollten Security-Strategie auf moderne Angriffstechniken abstellen / Richard Werner erläutert am Beispiel des Kaseya-Vorfalls Besonderheiten eines Supply-Chain-Angriffs

datensicherheit.de, 07.07.2021
Supply-Chain-Angriff bei Kaseya: Warnung für Unternehmen vor Ransomware aus allen Richtungen / Inzwischen Zehntausende von Kaseya-Kundensystemen weltweit betroffen