Kaseya

Supply-Chain-Ransomware - bitte was?!

Genau zwischen Shitrix und dem Solarwinds-Desaster dachte sich eine weitere Gruppierung, dass Dienstleister, deren Software von vielen Unternehmen zur Verwaltung ihrer Systeme eingesetzt wird, ein lohnendes Ziel sein könnten. Bis zu 1500 Unternehmen waren weltweit betroffen, offiziell gab es darunter auch einen größeren deutschen IT-Dienstleister, dessen Kunden durch die Angriffe betroffen waren. Dunkelziffer: Unklar.

Was den Kaseya-Vorfall von den anderen Fällen abhob war, dass die Angreifer es nicht beim Auskundschaften der Unternehmen und dem Abziehen von Daten beließen. Nach getaner Arbeit aktivierten sie nämlich noch eine Ransomware, die die Kundensysteme verschlüsselte - Erpresserschreiben inklusive. So etwas läuft unter dem Begriff “Double Extortion”, wobei zusätzlich zur Motivation, die verschlüsselten Daten ggf. wieder entschlüsselt zu bekommen auch noch die Veröffentlichung der gestohlenen Dateien im Raum steht, die nur durch eine großzügige Spende abgewendet werden soll. Derartige Praktiken sind bekannt - im Rahmen einer Supply Chain-Attacke jedoch in diesem Umfang neu.

Hintergründe

Ab dem 2. Juli 2021 häuften sich Berichte von Unternehmen, die Opfer einer Ransomware-Attacke wurden. Der Verdacht, dass diese Fälle zusammenhängen, erhärtete sich schnell, da zum einen dieselbe Ransomware verwendet wurde und sich zum anderen nach kurzer Zeit herauskristallisierte, dass die betroffenen Unternehmen eine Gemeinsamkeit hatten: Sie alle setzten die Software “Virtual System Administrator” (VSA) des Herstellers Kaseya ein. Mittels dieser Software lassen sich virtuelle und physische Systeme verwalten und überwachen. Kurioserweise deckt die Software laut Herstellerangaben (Stand 04/2024) auch “Ransomware Detection” ab - ein Plot Twist allererster Güte, denn im Rahmen des Angriffes wurde sie dafür verwendet, die Ransomware der Angreifer auf den Systemen zu aktivieren.

Bereits am 4. Juli bestätigte das niederländische DIVD CSIRT (dem Computer Security Incident Response Team des Computer Security Incident Response Team) in einem Blogpost, dass sich Kaseya mit ihnen in Verbindung gesetzt hatte, um die gefunden Schwachstellen im Rahmen einer CVE-Meldung (Common Vulnerabilities and Exposures, eine öffentliche Datenbank mit Informationen zu bekannten Sicherheitslücken) zu veröffentlichen. Details zu den einzelnen Sicherheitslücken wurden aber auch hier nicht genannt, einzig ein Verweis auf eine gemeldete Schwachstelle im Bezug auf Anmeldedaten wurde genannt.

Am selben Tag ließen auch die Angreifer von sich hören. Die Gruppe REvil veröffentlichte auf ihrer Leak-Webseite einen Beitrag, in dem sie bestätigten, hinter diesem Angriff zu stecken. REvil betreibt eine Art Franchise-System für Ransomware; die Truppe selber stellt Infrastruktur zur Koordinierung von Angriffen auf bereits von ihnen infiltrierte Infrastruktur bereit, inklusive einem Helpdesk für Opfer, die Hilfe beim Bezahlen der geforderten Summe in BitCoin oder dem daraufhin bereitgestellten Entschlüsselungstool haben. Kriminelle kaufen sich bei REvil Nutzungsrechte für eine gewisse Zeit und Zugänge zu den unter Kontrolle stehenden Systemen und können dort dann Daten ausleiten und nachfolgend die Ransomware, die ebenfalls von REvil programmiert und bereitgestellt wird, ausführen. REvil erhält am Ende einen Anteil der gezahlten Summe.

Am 5. Juli bestätigte Kaseya öffentlich, dass ihre Software verschiedene Zero Day-Schwachstellen (0-day) aufwies, die aktiv ausgenutzt wurden, um verwundbare VSA-Server anzugreifen. Unter anderem war es den Angreifern mithilfe dieser Schwachstellen möglich, die Authentisierung der Systeme auszuhebeln, zudem konnten sie beliebige Dateien auf die Server hochladen und eigenen Code ausführen. Details über die Schwachstellen machten sie zu diesem Zeitpunkt jedoch nicht öffentlich. Die genauen Details zu den drei Sicherheitslücken arbeiteten schließlich die Sicherheitsforscher der Unternehmen Huntress Labs und TrueSec im Detail heraus. Anhand dieser Untersuchungen stellte Huntress Labs die These auf, die Angreifer seien primär durch die Authentication Bypass-Schwachstelle in der Lage gewesen, die Kaseya-Systeme zu übernehmen.

Das DIVD CSIRT veröffentlichte drei Tage nach dieser ersten öffentlichen Stellungnahme einen weiteren Beitrag, in dem weitere Details der Schwachstellen genannt wurden. Insgesamt wurden sieben Schwachstellen genannt, von denen vier bereits in den aktuellen Versionen der VSA-Software gepatcht waren, die auf den meisten Kundensystemen im Einsatz gewesen sein dürfte. Die drei übrigen sollten im nächsten Release am 11.07.2021 behoben werden. Kaseya deaktivierte während der andauernden Untersuchungen die eigenen software-as-a-service (SaaS) Systeme, auch wenn sie nicht davon ausgingen, dass die Angreifer Kontrolle über diese Systeme hatten. Dies stellte eine weitere Einschränkung für Kunden dar, die mit diesen Systemen arbeiteten.

Währenddessen hatte REvil ein Angebot auf den Tisch gelegt, der für derartige Gruppen eher untypisch ist: Man bot an, für umgerechnet 70 Millionen Dollar in Bitcoin ein universelles Entschlüsselungsprogramm anzubieten, mit dem Kaseya (oder wer auch immer es kaufte) die Daten aller Opfer entschlüsseln könne. Die Täter sprechen in diesem Kontext von über einer Million betroffener Systeme - eine Zahl, die bis dato beispiellos im Rahmen einer solchen Kampagne war.

Abgesang

Der Angriff hatte Auswirkungen auf viele Firmen, obwohl laut Kaseya offiziell nur ein paar Dutzend Kunden betroffen waren. Wie kam es dennoch dazu, dass die Auswirkungen 1500 Unternehmen betrafen, darunter große Supermarktketten, die fast alle Filialen zeitweise schließen mussten?

Erklärbar ist das durch eine Art Domino-Effekt. Die von Kaseya genannten 40 betroffenen Firmen waren wohl größtenteils IT-Dienstleister und Systemhäuser, die mit der VSA-Software die Systeme ihrer Kunden verwalteten. Und damit multiplizierte sich der Schaden. Wenn jedes dieser Systemhäuser nur 30-40 Kunden betreut, kommt man schnell auf die betroffenen anderthalbtausend Firmen. Dabei hätte deutlich mehr passieren können. Kaseya selbst hatte zu diesem Zeitpunkt mehr als 36.000 Kunden. Wären zeitgleich Schwachstellen auch in den anderen Kaseya-Produkten von REvil entdeckt worden, wäre der Schaden ungleich höher gewesen.

Den Betroffenen indes ist das kein Trost. Neben dem Verlust von Mitarbeiter- und Kundendaten sowie Geschäftsgeheimnissen standen viele Firmen vor dem Trümmerfeld ihrer IT-Umgebungen und mussten Schritt für Schritt über Monate und Jahre hinweg ihre Infrastruktur wieder aufbauen. Selbst wenn Backups vorhanden waren (was nicht selbstverständlich ist, denn die Backup-Infrastruktur der meisten Unternehmen war oft ebenfalls angreifbar - oder schlicht nicht vorhanden), half das Zurückspielen nur in Einzelfällen, den Wiederaufbau zu beschleunigen. Da unklar war, ab wann die Angreifer tatsächlich auf den Systemen unterwegs waren, konnten oft nur Teile der gesicherten Daten mühsam per Hand zurückgespielt werden. Eine Neustrukturierung der Infrastruktur un die Einschränkung der Möglichkeiten für externe Dienstleister, direkt auf die Systeme zuzugreifen, nahm zumindest ein Teil der Betroffenen in Angriff.

Auch hier wird deutlich, welche Gefahren von starken Abhängigkeiten in der digitalen Lieferkette ausgehen können. Systemhäuser, die ihre vielen Kunden nur deswegen mit einer schmalen Personaldecke versorgen können, weil sie mit ihren Tools permanent direkten Zugriff auf deren Systeme haben, haben ein hohes Potenzial, auch in Zukunft noch nicht absehbaren Schaden anzurichten.