Wartungssoftware lieferte den Einstieg zur Lösegelderpressung: Der Hersteller Kaseya stoppte vorsorglich Cloud-Dienste und bat Kunden ihre Server abzuschalten.
(Bild: antb/Shutterstock.com)
Security Von
- dpa
Die Hacker, die vor einigen Wochen den weltgrößten Fleischkonzern JBS weitgehend lahmgelegt haben, gingen in einer neuen Angriffswelle gleich auf hunderte Unternehmen los. Sie nutzten eine Schwachstelle in einer Software des IT-Dienstleisters Kaseya, um dessen Kunden mit Erpressungssoftware zu attackieren. Wie Kaseya in der Nacht zum Samstag mitteilte, sind nach bisherigen Erkenntnissen weniger als 40 Kunden betroffen.
Fernzugriffs- und Wartungssoftware VSA
Der Schaden hätte weit größer sein können: Kaseya hat insgesamt mehr als 36.000 Kunden. Mit Hilfe der Fernzugriffs- und Wartungssoftware VSA von Kaseya verteilen Unternehmen Software-Updates in ihren Netzwerken. Ein Eindringen in die VSA-Software kann den Angreifern also viele Türen auf einmal öffnen. Kaseya stoppte am Freitag seinen Cloud-Service und warnte die Kunden, sie sollten sofort lokal laufende VSA-Systeme ausschalten. Nach Angaben des Unternehmens waren Kunden des Cloud-Dienstes zu keinem Zeitpunkt in Gefahr – alle betroffenen Firmen nutzten VSA-Installationen.
Kaseya sei zuversichtlich, die Schwachstelle gefunden zu haben, wolle sie demnächst schließen und die Systeme nach einem Sicherheitstest wieder hochfahren, hieß es. IT-Sicherheitsexperten ordneten die Attacke anhand der Hackergruppe REvil zu, die auch hinter dem JBS-Angriff steckte.
Software von Kaseya schon 2019 für Angriffe verwendet
Attacken mit Erpressungs-Software hatten zuletzt wiederholt für Schlagzeilen gesorgt. Nur kurz vor dem JBS-Fall stoppte ein Angriff dieser Art den Betrieb einer der größten Benzin-Pipelines in den USA und schränkte die Kraftstoffversorgung in dem Land vorübergehend ein. Den Hackern bringt es Geld: JBS zahlte den Angreifern umgerechnet elf Millionen Dollar in Kryptowährungen, der Pipeline-Betreiber Colonial 4,4 Millionen Dollar. Allerdings konnten Ermittler wenig später gut die Hälfte des Colonial-Lösegelds beschlagnahmen.
Die Software von Kaseya ist schon 2019 für Angriffe verwendet worden. Und: Binnen weniger Monate ist dies Kaseya-Lücke die zweite bekanntgewordene Attacke, bei der Cyberkriminelle über einen IT-Dienstleister in Systeme seiner Kunden eindringen konnten. Über Wartungssoftware der Firma Solarwinds waren Angreifer vermutlich zu Spionage-Zwecken in Computernetzwerke von US-Regierungsbehörden gekommen, unter anderem beim Finanz- und Energieministerium.
(ps)
Quelle: www.heise.de