Security Announcement
Ransomware-Attacken sind weiterhin auf dem Vormarsch und erzwingen von Unternehmen hohe Lösegeldforderungen.
Die jüngste Cyberattacke in den USA mit Erpressungssoftware hat auch Auswirkungen in Deutschland. Bei dem Angriff nutzten Hacker eine Schwachstelle bei dem amerikanischen IT-Dienstleister Kaseya, um dessen Kunden mit einem Programm zu attackieren, das Daten verschlüsselt und Lösegeld für die Freigabe der Daten verlangt. Das BSI erklärte, dass auch ein deutsches Unternehmen betroffen sei.
Kaseya empfiehlt erstmal deren On-Premises-Server offline zu lassen, bis ein Patch ausgeliefert wird, dies soll heute im Laufe des Tages geschehen. Kaseya stoppte letzten Freitag auch seinen Cloud-Service, welcher nun aber wieder schrittweise online gehen sollte. Zudem hat Kaseya ein Compromise Detection Tool bereitgestellt, um zu prüfen, ob Indicators of Compromise (IoC) am VSA-Server oder auf Endpoints zu finden sind.
Weitere Hintergrundinformationen zum aktuellen Angriff:
Die schwedische Supermarktkette Coop musste aufgrund eines Angriffs in Schweden landesweit mehrere hundert Filialen schließen, da dort die Kassensysteme durch die bekannte Ransomware "REvil", auch bekannt als "Sodinokibi", verschlüsselt wurden. Der Angriff begann am Freitagabend und betraf – zunächst – noch einige Apotheken und Systeme der schwedischen Bahn.
Mittlerweile melden sich weltweit Unternehmen, darunter auch ein deutsches Unternehmen, die ebenfalls von Sodinokibi verschlüsselt werden.
Angegriffen wurde ursprünglich nämlich nicht Coop selbst, sondern der Dienstleister "Kaseya", der weltweit die Software "VSA" zur Verwaltung von Updates unter anderem für Kassensysteme anbietet. Die Angreifer nutzten hier eben jene Updates, um die "REvil" Ransomware auf den Kundensystemen zu verteilen.
Laut Kaseya wurde die Schwachstelle bereits gefunden, allerdings warte man hier noch auf die Bestätigung eines Penetrationstests der Systeme und der Software.
Kaseya bedient dabei etwa 36.000 Kunden. Laut eigener Aussage sind etwa 40 Kunden betroffen, allerdings sind darunter auch einige Dienstleister vertreten, was dann natürlich weit größere Auswirkungen zur Folge hat. So spricht die US-Sicherheitsfirma "Huntress" von mehr als 1000 Unternehmen, bei denen aufgrund der kompromittierten Updates der Software "VSA" Daten verschlüsselt wurden.
Die verwendete "REvil" Ransomware machte zuletzt von sich reden, nachdem der US-Fleischkonzern JBS Opfer einer Ransomware-Attacke wurde und nach mehreren Tagen Ausfalls mehrere Mio. Dollar Lösegeld zahlte.
Security Announcement
