Der Kaseya Ransomware-Albtraum ist fast vorbei
Der Kaseya Ransomware-Albtraum ist fast vorbei
Labyrinth mit unterschiedlich geformten Blöcken mit einer Kugel am Ende
des Labyrinths
Fast drei Wochen Vor einiger Zeit hat sich ein Ransomware-Angriff auf
ein wenig bekanntes IT-Softwareunternehmen namens Kaseya zu einer
umfassenden Epidemie entwickelt, bei der Hacker die Computer von bis zu
1.500 Unternehmenbeschlagnahmten, darunter eine große schwedische
Lebensmittelkette. Letzte Woche verschwand die berüchtigte Gruppe hinter
dem Hack aus dem Internet, so dass die Opfer keine Möglichkeit hatten,
zu bezahlen und ihre Systeme zu befreien. Aber jetzt scheint die
Situation fast endlich gelöst zu sein, dank des überraschenden
Erscheinens eines universellen Entschlüsselungstools am Donnerstag.
Der Hack vom 2. Juli war ungefähr so schlimm wie es nur geht. Kaseya
bietet IT-Management-Software, die bei sogenannten Managed Service
Providern (MSPs) beliebt ist, also Unternehmen, die IT-Infrastruktur für
Unternehmen anbieten, die sich lieber nicht selbst damit befassen
möchten. Durch die Ausnutzung eines Fehlers in MSP-fokussierter Software
namens Virtual System Administrator konnte die Ransomware-Gruppe REvil
nicht nur diese Ziele, sondern auch ihre Kunden infizieren, was zu einer
Welle der Verwüstung führte.
In den Wochen dazwischen hatten die Opfer praktisch zwei Möglichkeiten:
das Lösegeld zu zahlen, um ihre Systeme wiederherzustellen, oder das,
was durch Backups verloren ging, wiederherzustellen. Für viele einzelne
Unternehmen setzte REvil das Lösegeld auf etwa 45.000 US$Dollar fest. Es
versuchte, MSPs für bis zu 5 Millionen Dollar abzuschütteln. Es legte
auch ursprünglich den Preis für einen universellen Entschlüsseler auf 70
Millionen Dollar fest. Die Gruppe würde später auf 50 Millionen Dollar
herunterkommen, bevor sie verschwand, wahrscheinlich in dem Versuch, in
einem Hochspannungsmoment niedrig zu liegen. Als sie verschwanden,
nahmen sie ihr Zahlungsportal mit. Die Opfer blieben gestrandet und
konnten nicht zahlen, selbst wenn sie wollten.
Kaseya-Sprecherin Dana Liedholm bestätigte GEGENÜBER WIRED, dass das
Unternehmen einen universellen Entschlüsseler von einem
"vertrauenswürdigen Dritten" erhalten habe, aber sie ging nicht näher
darauf ein, wer ihn zur Verfügung gestellt habe. "Wir haben ein Team,
das aktiv mit unseren betroffenen Kunden zusammenarbeitet, und werden
mehr darüber erzählen, wie wir das Tool weiter zur Verfügung stellen
werden, sobald diese Details verfügbar werden", sagte Liedholm in einer
E-Mail-Erklärung und fügte hinzu, dass die Kontaktaufnahme zu den Opfern
bereits mit Hilfe der Antivirenfirma Emsisoft begonnen habe.
"Wir arbeiten mit Kaseya zusammen, um ihre Bemühungen zur Kundenbindung
zu unterstützen", sagte Emsisoft-Bedrohungsanalyst Brett Callow in einer
Erklärung. "Wir haben bestätigt, dass der Schlüssel effektiv ist, um
Opfer zu erschließen, und werden Kaseya und seine Kunden weiterhin
unterstützen."
Die Sicherheitsfirma Mandiant hat mit Kaseya an der Sanierung im
weiteren Sinne gearbeitet, aber ein Mandiant-Sprecher verwies WIRED
zurück nach Liedholm, als er um zusätzliche Klarheit darüber gebeten
wurde, wer den Entschlüsselungsschlüssel zur Verfügung stellte und wie
viele Opfer ihn noch benötigten.
Die Möglichkeit, jedes Gerät freizugeben, das verschlüsselt bleibt, ist
unbestreitbar eine gute Nachricht. Aber die Zahl der Opfer, die zu
diesem Zeitpunkt übrig bleiben, um zu helfen, kann ein relativ kleiner
Teil der ersten Welle sein. "Der Entschlüsselungsschlüssel ist
wahrscheinlich für einige Kunden hilfreich, aber es ist wahrscheinlich
zu wenig zu spät", sagt Jake Williams, CTO der Sicherheitsfirma
BreachQuest, die mehrere Kunden hat, die in der REvil-Kampagne getroffen
wurden. Das liegt daran, dass jeder, der seine Daten durch Backups,
Zahlungen oder auf andere Weise rekonstituieren könnte, dies
wahrscheinlich inzwischen getan hätte. "Die Fälle, in denen es
wahrscheinlich am meisten hilft, sind diejenigen, in denen es einige
einzigartige Daten auf einem verschlüsselten System gibt, die einfach in
keiner Weise sinnvoll rekonstituiert werden können", sagt Williams. "In
diesen Fällen empfahlen wir diesen Organisationen, sofort für
Entschlüsselungsschlüssel zu bezahlen, wenn die Daten kritisch waren."
Viele der REvil-Opfer waren kleine und
mittlere Unternehmen; Als MSP-Kunden sind sie definitionsgemäß die
Typen, die es vorziehen, ihre IT-Anforderungen auszulagern – was
wiederum bedeutet, dass sie mit geringerer Wahrscheinlichkeit
zuverlässige Backups zur Verfügung haben. Dennoch gibt es andere
Möglichkeiten, Daten neu zu erstellen, auch wenn dies bedeutet, dass
Kunden und Anbieter gebeten werden müssen, alles zu senden, was sie
haben, und von vorne anzufangen. "Es ist unwahrscheinlich, dass jemand
Hoffnung auf einen Schlüssel hatte", sagt Williams.
https://www.wired.com/story/kaseya-ransomware-nightmare-is-almost-over/ver/
Ob bei der Software auch die restlichen " 2 Schwachstellen" beseitigt
wurden ist nicht bekannt !