Kaseya, ein Technologieunternehmen für Unternehmen, ist das neueste Opfer bösartiger Ransomware. Das Unternehmen hat bestätigt, dass am Wochenende des 4. Juli ungefähr 1.500 Unternehmen von dem Angriff betroffen waren, obwohl die Angreifer sagen, dass sie bereits über eine Million Computer betroffen haben.
Die Angreifer führten offenbar einen Ransomware-Angriff in der Lieferkette durch, indem sie (natürlich) eine bisher unbekannte Schwachstelle in der VSA-Software des Unternehmens gegen ihre Kunden und mehrere Managed Service Provider ausnutzten. VSA ist die Fernüberwachungs- und Verwaltungssoftware des Unternehmens, die zum Verwalten und Aktualisieren von Endpunkten (wie PCs oder Registrierkassen) verwendet wird.
“Bisher sind uns weniger als 60 Kaseya-Kunden bekannt, die alle das VA-On-Premises-Produkt nutzten, die durch diesen Angriff direkt kompromittiert wurden. Während viele dieser Kunden IT-Services für mehrere andere Unternehmen bereitstellen, wissen wir, dass die Gesamtwirkung bisher weniger als 1.500 nachgelagerte Unternehmen betrifft. Wir haben keine Beweise dafür gefunden, dass einer unserer SaaS-Kunden kompromittiert wurde,” erklärte Kaseya in einem Update.
Der Angriff wurde ursprünglich am Freitag, dem 2. Juli, gestartet. Kaseya stellte seinen Kunden am nächsten Tag ein Compromise Detection Tool zur Verfügung, das Server und Endpunkte analysieren würde, um festzustellen, ob Anzeichen für eine Gefährdung erkannt wurden. Am Sonntag, dem 4. Juli, verlangten die Schauspieler 70 Millionen Dollar in Bitcoin im Austausch für ihr universelles Entschlüsselungstool. Am nächsten Tag kündigte Kaseya einen Patch für lokale Kunden an, der innerhalb von 24 Stunden nach der Wiederaufnahme der SaaS-Server online eingeführt werden sollte.
Am Wochenende traf sich Kaseya mit dem FBI und dem CISA, um zu diskutieren Sicherheitsmaßnahmen—wie Systeme und Netzwerk-Härtungsanforderungen. Das Unternehmen stellte außerdem fest: “Vor dem Neustart des Dienstes wird eine Reihe von Anforderungen veröffentlicht, um unseren Kunden Zeit zu geben, diese Gegenmaßnahmen in Erwartung einer Wiederaufnahme des Dienstes am 6. Juli zu ergreifen.”
Die Server von Kaseya blieben Tage nach dem Angriff offline, was sich auf namhafte Unternehmen wie Coop auswirkte, ein schwedisches Lebensmittelgeschäft mit über 800 Geschäften, deren Kassen abgestürzt sind. Kaseya sagt, dass es zusätzliche Angriffsdetails bereitstellen und Kunden über die Sicherheitsbemühungen und einen vollständigen Wiederherstellungszeitplan auf dem Laufenden halten wird, wenn sie voranschreiten.
über ZDNet