Cyberattacke auf VSA-Server 2021
Eine Cyberattacke auf VSA-Server verschiedener Unternehmen ereignete sich am 2. Juli 2021. Die kriminellen Hacker drangen in die fremden Server ein, indem sie eine Sicherheitslücke in der Software VSA des US-amerikanischen IT-Dienstleisters Kaseya ausnutzten. Dabei wurden mit Hilfe von Ransomware Daten auf den betroffenen Servern verschlüsselt.[1] Am 5. Juli folgte mittels einer Nachricht im Darknet eine Forderung von 70 Millionen US-Dollar für die Entschlüsselung der Daten.[2] Die Kriminellen verlangen von einzelnen betroffenen Unternehmen fünfstellige Lösegeld-Beträge – die Rede ist von 45.000 US-Dollar.[3]
VSA
Kaseya ist ein Anbieter für Informationstechnologie und IT-Sicherheit, der sich an kleine und mittlere Unternehmen richtet.[4] Das Unternehmen vertreibt unter anderem die Fernwartungssoftware VSA (Virtual System Administrator). Über VSA-Server können Unternehmen ihre Netzwerke von jedem gewünschten Arbeitsplatz aus steuern.[5] Unter anderem wird VSA häufig zum einfachen Einspielen von Softwareaktualisierungen verwendet. Durch Manipulation dieser Software gelang es Cyberkriminellen, die Daten auf den Rechnern von zahlreichen Kunden zu verschlüsseln.[4] Die Unternehmensleitung von Kaseya forderte ihre Kunden auf, umgehend alle VSA-Server abzuschalten und abzuwarten, bis weitere Informationen herausgegeben würden.
Bei Angriffen mit Ransomware versuchen Hacker meist, Geld zu erpressen. Zum ersten bekannten Vorfall dieser Art („AIDS“) kam es bereits 1989. Etwa ab 2010 wurde diese Form von Computerkriminalität dann alltäglich, begünstigt durch die sich etablierenden Kryptowährungen, die eine einfache und weitgehend anonyme Zahlung ermöglichen.
- Sicherheitslücke
Die Fernwartungssoftware VSA konnte aufgrund mangelhafter Softwarequalität mit einem Zero-Day-Exploit angegriffen werden.[1] Ähnlich wie 2014 bei dem schwerwiegenden Programmierfehler HeartBleed bestand der Angriffsvektor darin, über eine Internetverbindung schädlichen Programmcode in die angegriffenen Systeme einzuschleusen.[6] Dies war möglich, weil weder die verwendete Programmiersprache eine implizite Validierung, noch die Softwareentwickler eine explizite Validierung der gültigen Datenlänge bei einer sicherheitskritischen Programmierschnittstelle durchgeführt haben.[7] Bei solchen Typverletzungen werden häufig Zeiger auf einen bestimmten Speicherbereich an Unterprogramme übergeben, ohne dass überprüft wird, wie groß der Speicherbereich ist, auf den zugegriffen werden darf.[8] Dadurch kann bei einem Angriff, beispielsweise durch einen vom Programm oder vom Laufzeitsystem nicht kontrollierten Pufferüberlauf, auch auf Stellen im Arbeitsspeicher außerhalb des gültigen Speicherbereichs zugegriffen werden. Beim Verändern dieses erweiterten Speicherbereichs können Daten manipuliert oder durch Code Injection sogar schädlicher Programmcode eingeschleust werden. Beim Auslesen können unter Umständen schützenswerte Daten ausgespäht werden.[9]
Ablauf
Der Hackerangriff auf die überwiegend amerikanischen Unternehmensnetzwerke startete am Abend des 2. Juli 2021 und wirkte sich bald auch in Europa aus. Nachdem die Cyberkriminellen Zugriff auf die Netzwerke erlangt hatten, spielten sie auf den infiltrierten Rechnern Malware auf, um damit Daten zu verschlüsseln. Kaseya hatte zu diesem Zeitpunkt 36.000 Kunden, von denen eine nicht bekannte Anzahl VSA nutzt.
Die im Endeffekt betroffenen Rechner haben aber einen Dominoeffekt zur Folge, weil unter den betroffenen Unternehmen auch Dienstleister waren, die ihrerseits mehrere Kunden haben, und die gesperrten Daten auch für diese relevant sind.[10]
Ein IT-Sicherheitsexperte verglich das Vorgehen bei der Cyberattacke mit dem Hackerangriff auf SolarWinds im Jahr 2019, mit dem Unterschied, dass die Täter im aktuellen Fall finanzielle Interessen hätten.
Täter
Nach ersten Einschätzungen des Computer-Notfallteams der neuseeländischen Regierung steckte hinter der Cyberattacke die russische Hackervereinigung REvil. Der Gruppe werden bereits Ransomware-Attacken vom Mai 2021 gegen US-Unternehmen sowie Cyberangriffe gegen Ministerien, Behörden und Unternehmen vorgeworfen. Auch die US-Bundespolizei FBI machte kriminelle Hacker aus Russland für diese Cyberattacken verantwortlich.[11][12] US-Präsident Joe Biden ordnete eine Untersuchung des Angriffs durch die Geheimdienste an. Zwei Tage nach den Cyberangriffen sagte er, dass dem ersten Eindruck nach nicht die russische Regierung dahinterstecke, aber das sei noch nicht sicher.[10] Unter anderem deutete die verwendete Ransomware, eine neue Version der Sodinokibi-Trojaner, auf die Gruppe hin.
Am 5. Juli 2021 veröffentlichte REvil im Darknet auf der Seite Happy Blog ein Bekennerschreiben und ihre Forderungen. Ein Betrag von 70 Millionen US-Dollar solle in der Digitalwährung Bitcoin bezahlt werden, hieß es in dem Blogeintrag der Gruppe. Anschließend werde man die Daten wieder freigegeben. Außerdem gab die Gruppe an, dass weltweit „mehr als eine Million Systeme“ betroffen seien. Ein Sprecher der Firma Recorded Future, die auf IT-Sicherheit spezialisiert ist, erklärte, dass der Eintrag vermutlich echt sei. Der Blog wird von der Gruppe bereits seit 2020 betrieben.[2]
Schäden
Das Ausmaß der Schäden wurde erst mit Beginn der Arbeitswoche am 5. Juli nach und nach bekannt. Betroffen waren neben den USA vor allem Deutschland, Großbritannien, Kanada und Kolumbien.
Nach ersten Schätzungen der auf Cybersicherheit spezialisierten Huntress Labs sollten mehr als tausend Unternehmen betroffen sein.[4] Bereits gegen Abend des folgenden Tages wurden die Angaben deutlich nach unten korrigiert, die Medien schrieben nur noch von 200, später dann nur noch von 40 betroffenen Unternehmen.[11] Am 6. Juli wurde gemeldet, dass weltweit zwischen 800 und 1500 Unternehmen von dem Vorfall betroffen seien. Bis dahin hatten sich Unternehmen aus 17 Ländern als Betroffene gemeldet.[3]
Die schwedische Supermarktkette Coop, deren Zahlungsdienstleister Visma Esscom die Software von Kaseya nutzt, schloss in der Folge am 3. Juli alle 800 Filialen. Die Attacke habe die Kassensysteme blockiert, gab eine Unternehmenssprecherin kurz darauf bekannt. Zudem waren in Schweden auch die Bahngesellschaft SJ, die Tankstellenkette St1 und die Apothekenkette Apotek Hjärtat betroffen[13], ebenso der Fernsehsender SVT. In den Niederlanden meldeten die großen IT-Dienstleister VelzArt und Hoppenbrouwers Techniek Probleme.[14]
Beim Bundesamt für Sicherheit in der Informationstechnik meldete sich am folgenden Wochenende nur ein betroffenes Unternehmen aus Deutschland.[10][15]
Weblinks
- handelsblatt.com Cyberangriff in USA trifft Hunderte Firmen – Supermarktkette in Schweden schließt fast alle Filialen. 3. Juli 2021.
Einzelnachweise
- REvil Used 0-Day in Kaseya Ransomware Attack, Demands $70 Million Ransom. Abgerufen am 5. Juli 2021 (englisch).
- tagesschau.de Weltweite Cyberattacke Hacker fordern 70 Millionen Lösegeld - 3. Juli 2021
- Ransomware: Bis zu 1500 Firmen werden von »REvil« erpresst. In: Der Spiegel. Abgerufen am 6. Juli 2021.
- yahoo.com Experten: Womöglich mehr als 1000 Firmen von Cyberangriff auf IT-Firma Kaseya betroffen. 3. Juli 2021.
- spiegel.de Hacker legen Kassensysteme lahm – Cyberangriffe auf Supermarktkette Coop und IT-Dienstleister. 3. Juli 2021.
- Remote code execution in Kaseya VSA. Abgerufen am 5. Juli 2021 (englisch).
- CWE-20 - Improper Input Validation. Abgerufen am 5. Juli 2021.
- CSE 341: Unsafe languages (C), Computer Science washington.edu, abgerufen am 2. Juli 2016.
- CWE - CWE-20: Improper Input Validation (4.4). Abgerufen am 5. Juli 2021.
- zdf.de IT-Dienstleister in USA – Kaseya-Attacke: Folgen auch in Deutschland. 4. Juli 2021.
- derstandard.de Rund 40 Firmen von Cyberattacke auf US-IT-Firma Kaseya betroffen. 3. Juli 2021.
- sophos.com REvil-Ransomware unter die Haube geschaut. 18. Juni 2021.
- sueddeutsche.de Schwedische Supermarktkette Coop muss 800 Filialen schließen. 3. Juli 2021.
- dw.com Kaseya cyberattack: Hackers want $70 million for decryption - 5. Juli 2021.
- https://www.t-online.de/digital/internet/id_90395078/attacke-auf-kaseya-auch-deutsches-unternehmen-opfer-von-hackerangriff.html