Hunderte Coop-Supermärkte in Schweden nach REvil-Ransomwarebefall geschlossen
Die Attacke gen die Fernwartungssoftware VSA des IT-Dienstleisters Kaseya zieht weite Kreise: In Schweden mussten hunderte Supermärkte schließen.
Security Von
- Dennis Schirrmacher
Weil der Zahlungsdiensleister Visma Esscom Opfer einer Hacker-Attacke wurde, musste die schwedische Coop-Supermarktkette hunderte Läden schließen. Der Grund dafür sind nicht mehr funktionierende Kassensysteme.
Einer Meldung auf der Website der Supermarktkette zufolge ist das Problem noch nicht gänzlich gelöst, am heutigen Sonntag haben aber einige Filialen wieder geöffnet. Coop ist eine der größten Supermarktketten in Schweden. Visma Esscom hat die Attacke in einer Stellungnahme bestätigt.
Die Ursache
Der Zahlungsdienstleister setzt die Fernwartungssoftware VSA von Kaseya ein. Damit können Admins aus der Ferne zum Beispiel Updates auf Computern von Kunden installieren. Derzeit nutzen Angreifer eine Sicherheitslücke in der Software aus und infizieren so Systeme von Kaseya-Kunden mit dem Verschlüsselungstrojaner REvil.
In diesem Fall konnte die Ransomware über die VSA-Lücke auf die Coop-Kassensysteme gelangen und Daten verschlüsseln. Nach der Attacke konnten Kunden nicht mehr bezahlen und die Verantwortlichen sahen sich nach BBC-Informationen zufolge dazu gezwungen rund 500 Filialen zu schließen.
Systeme absichern
Da noch kein Sicherheitspatch für die VSA-Lücke verfügbar ist, sollten Admins einer Warnmeldung von Kaseya zufolge VSA-Server umgehend offline schalten, um Attacken vorzubeugen. Admins sollten Server erst wieder in Betrieb nehmen, wenn der Sicherheitspatch verfügbar und installiert ist. Am heutigen Sonntag will der Softwarehersteller um 15:00 Uhr weitere Details dazu veröffentlichen. Die Verantwortlichen wollen die Meldung stetig aktualisieren.
Kaseya will ein Tool zur Verfügung stellen, mit dem Admins kompromittierte Systeme erkennen können. Um es zu erhalten, müssen Admins eine Mail mit dem Betreff „Compromise Detection Tool Request“ an support@kaseya.com schreiben.
Der Warnung zufolge sollen die Ransomware-Infektion auf dem klassischen Weg über Betrüger-E-Mails mit Links zur Malware stattfinden. Mitarbeiter sollten also wachsam sein und nicht ohne zu überlegen auf Links in Mails klicken. Das gilt übrigens nicht nur in diesem Fall und man sollte stets aufpassen, auf was man klickt und welchen Dateianhang man öffnet.
Das ist sicher noch nicht das Ende
Solche Lieferketten-Angriffen sind besonders gefährlich, da davon unzählige Parteien betroffen sind. Kaseya soll weltweit insgesamt mehr als 36.000 Kunden haben. Der Software-Hersteller gibt an, dass sie derzeit von rund 40 betroffenen Kunden wissen. Berichten zufolge hat Visma Esscom 1 Millionen Kunden. Es ist davon auszugehen, dass die Attacken noch weite Kreise ziehen werden.
(des)
Quelle: www.heise.de