Check Point beleuchtet Supply-Chain-Angriff auf Kaseya

Die Sicherheitsforscher von Check Point Research haben die Ransomware-Angriffe vom vergangenen Wochenende genauer unter die Lupe genommen. Die Hacker-Gruppe REvil nutze den amerikanischen Unabhängigkeitstag am 04. Juli für den größten Supply-Chain-Angriff seit der Attacke auf Sunburst Ende 2020.

Die Angreifer von REvil bedienten sich eines Zero-Day-Exploit in der Software von Hersteller Kaseya als Einfallstor, um Ransomware in Unternehmen einzuschleusen und diese zu erpressen. Betroffen sind zwischen 800 und 1500 Unternehmen aus 17 Ländern, das bestätigte Fred Voccola, Vorstandsvorsitzender von Kaseya, gegenüber der Nachrichtenagentur Reuters. Das gesamte geforderte Lösegeld der Angreifer liegt im Millionenbereich. Bereits in den letzten Wochen beobachteten die Sicherheitsforscher von Check Point ansteigende Aktivität von REvil-Hackern: In den vergangenen zwei Monaten verzeichneten sie 15 neue REvil-Angriffe pro Woche, die meisten davon in den Vereinigten Staaten, Deutschland, Brasilien und Indien. Im Vergleich zum vergangenen Jahr stieg die Anzahl an Ransomware-Angriffen allgemein und global um 93 Prozent.

Christine Schönig, Regional Director Security Engineering CER, Office of the CTO bei Check Point

„Im Jahr 2021 wurden bereits Rekorde für Cyberangriffe gebrochen,“ erläutert Christine Schönig, Regional Director Security Engineering CER, Office of the CTO bei Check Point Software Technologies GmbH: „Der Anstieg von Ransomware-Angriffen liegt bei einem Allzeithoch von 93 Prozent weltweit, der aller Attacken in der EMEA-Region bei 97 Prozent und das nur in den letzten 12 Monaten. Noch nie gab es so viele Opfer von Ransomware-Angriffen von denen ein unbekanntes Ausmaß nicht nur allein die USA betrifft, sondern vermehrt sind es auch europäische Unternehmen, die hier ins Visier geraten sind. Wer Kaseya-VSA verwendet, trennt es am besten umgehend vom Netzwerk, obwohl es schon zu spät sein könnte.“

Zum gewählten Zeitpunkt des Angriffs erklärt Frau Schönig: „REvil wählte den 4. Juli als Zeitpunkt des Angriffs aus einem bestimmten Grund nämlich mangelnde Aufmerksamkeit. Am Nationalfeiertag der USA steht häufig nur eine Notbesetzung zur Verfügung und diese Tatsache öffnete die Hintertür zu über tausend Unternehmen über die wiederum zahlreiche weitere Unternehmen kompromittiert werden konnten. IT-Mitarbeiter waren für die Feierlichkeiten im Land offline und die eingesetzte Notbesetzung arbeitete in der Regel weniger umsichtig. Diese Tatsache spielte den Bedrohungsakteuren in mehrfacher Hinsicht in die Hände: Die Ransomware konnte vollständig zum Einsatz gebracht werden, bevor jemand etwas gemerkt hat. Zusätzlich ist die Panik während der Reaktionsmaßnahmen größer, wenn wichtige Ansprechpartner nicht verfügbar sind, um zu entscheiden. Das erhöht das Maß an Fehlentscheidungen und auch die Wahrscheinlichkeit einer Lösegeldforderung nachzugeben.“

Wichtige Schritte, um eine Infektion im Zusammenhang mit der Kaseya-Angriffswelle zu identifizieren:

  • EDR, NDR und andere Tools zur Sicherheitsüberwachung verwenden, um die Legitimität aller neuen Dateien in der Umgebung seit dem 2. Juli zu überprüfen.
  • Bei den Anbietern von Sicherheitsprodukten fragen, ob Schutzmaßnahmen für REvil-Ransomware vorhanden sind.
  • Wenn Hilfe benötigt wird, Experten hinzuziehen, um die Situation in der IT-Umgebung zu verifizieren.

Info: Der komplette Bericht der Sicherheitsforscher zu dem Zwischenfall findet sich hier: https://blog.checkpoint.com/2021/07/05/russian-speaking-group-strikes-on-us-independence-weekend-hitting-several-organizations-with-ransomware-demands-in-the-biggest-supply-chain-attack-since-sunburst/

#CheckPoint