05.07.2021 17:30

Update - Kaseya VSA Ransomwarevorfall: Sicht auf Österreich

5. Juli 2021

Update: 7. Juli 2021

In den Medien wird aktuell über einen Ransomwarevorfall, welcher eine große Anzahl an Firmen betrifft, berichtet 1 2. Diesen Berichten zufolge gelang es der Ransomware-Gruppe "REvil" über das Einschleusen von Code in die Software-Lösung "Kaseya VSA", welche zum Remote-Monitoring und -Management für IT bei Managed Service Providern (MSP) eingesetzt wird, die Ransomware "Sodinokibi" automatisiert an die MSPs und somit auch an deren Kunden auszurollen. Diese Art der initialen Kompromittierung wird auch gern als "Supply-Chain" Attacke definiert.

Update: 7. Juli 2021

Einem Bericht9 von Tenable zufolge könnte die Schwachstelle CVE-2021-30116 für die initiale Kompromittierung benutzt worden sein.
Als Lösegeldforderung zur Entschlüsselung aller betroffenen Unternehmen mit einem Hauptschlüssel (Master-Key) gibt "REvil" auf ihrer Darkweb-Seite eine Summe von 70.000.000 USD an.

In Folge dieses Vorfalls ist nun auch eine Spam-Kampagne, welche Schadsoftware (Cobalt Strike) im Anhang ausliefert und vorgibt, ein legitimes Update für Kaseya VSA zu sein, in Erscheinung getreten.12

Auf GitHub werden Indicators of Compromise (IOCs) gepflegt 3, die hilfreich sein können, die eigene Infrastruktur auf eine erfolgte Infektion zu überpüfen. Wir möchten hier darauf hinweisen, dass die in der Konfiguration der Schadsoftware hinterlegten Domains keine sehr guten IOCs darstellen, da es hier einige False Positives gibt.

Der Hersteller informiert laufend über weitere Entwicklungen, die dieses Thema betreffen 4.

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat ein Advisory zum Thema veröffentlicht 5. Hier wird auf ein Tool verwiesen 6, welches zur Überprüfung einer Kompromittierung benutzt werden kann.

Die Sicherheitsforscher, die die Schwachstelle entdeckt haben, welche als initialer Infektionsvektor gilt, haben eine Blog-Reihe 7 veröffentlicht, welche zeitnahe aktualisiert wird.

Die Cybersicherheits-Firma "Huntress" hat ebenso einen Blog-Post 8 veröffentlicht und aktualisiert diesen laufend.

Update: 7. Juli 2021

Die Cybersicherheits-Firma "Sophos" beschreibt in ihrem Blog-Post10 technisch detailreich den Ablauf des Vorfalls. Hier ist hervorzuheben, dass laut Bericht im Vergleich zu anderen Ransomware-Vorfällen durch "REvil" keine Daten exfiltriert wurden und kein Löschen von Schattenkopien (Shadow Copies) erfolgt ist. Das Löschen ebendieser ist eine beliebte Vorgehensweise von Ransomware, um ein Wiederherstellen von Daten weiter zu erschweren.

Auf Twitter11 erläutert ein Sicherheitsforscher, warum die Domains in der Konfiguration von "Sodinokibi" (speziell bei diesem Vorfall, aber auch allgemein) keine guten IOCs darstellen. (Anm.: Zur leichteren Lesbarkeit wird hier auf den Inhalt in Threadreaderapp verlinkt)

 

Aktuell sind uns keine Opfer in Österreich bekannt und wir haben von keinen anderen Einschränkungen innerhalb Österreichs erfahren, die in Zusammenhang zu diesem Vorfall stehen würden.

Update: 7. Juli 2021

Es liegen uns weiterhin keine Infomationen vor, dass Österreich von dem Vorfall betroffen wäre.

Wir bitten österreichische Unternehmen und Managed Service Provider, sich an uns unter team@cert.at zu wenden oder eine freiwillige NIS-Meldung unter https://nis.cert.at abzusetzen, sollte es wider unseren aktuellen Informationen zu einer Kompromittierung innerhalb Österreichs gekommen sein.

 

  1. Siehe https://www.derstandard.at/story/2000127922568/rund-40-firmen-von-cyberattacke-auf-us-it-firma-kaseya.

  2. Siehe https://futurezone.at/b2b/cyberangriff-kaseya-supermarkt-coop-loesegeld-hacker-70-millionen-dollar-bitcoin/401433943.

  3. Siehe https://github.com/cado-security/DFIR_Resources_REvil_Kaseya.

  4. Siehe https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689.

  5. Siehe https://us-cert.cisa.gov/ncas/current-activity/2021/07/04/cisa-fbi-guidance-msps-and-their-customers-affected-kaseya-vsa.

  6. Siehe https://kaseya.app.box.com/s/0ysvgss7w48nxh8k1xt7fqhbcjxhas40.

  7. Siehe https://csirt.divd.nl/blog/.

  8. Siehe https://www.huntress.com/blog/rapid-response-kaseya-vsa-mass-msp-ransomware-incident.

  9. Siehe https://de.tenable.com/blog/cve-2021-30116-multiple-zero-day-vulnerabilities-in-kaseya-vsa-exploited-to-distribute-ransomware.

  10. Siehe https://news.sophos.com/en-us/2021/07/04/independence-day-revil-uses-supply-chain-exploit-to-attack-hundreds-of-businesses/amp/.

  11. Siehe https://threadreaderapp.com/thread/1412064882623713283.html.

  12. Siehe https://www.bleepingcomputer.com/news/security/fake-kaseya-vsa-security-update-backdoors-networks-with-cobalt-strike/.