Kaseya: Zweite große Supply-Chain-Attacke

Kaseya: Zweite große Supply-Chain-Attacke

Beitrag teilen

Innerhalb eines halben Jahres ereignet sich, nach Sunburst (Solarwinds), jetzt mit dem Angriff auf Kaseya bereits die zweite aufsehenerregende Supply-Chain-Attacke. Geht man von der Anzahl parallel betroffener Unternehmen aus, ist die Cyberattacke sicherlich eine der größten in der Geschichte der IT-Security. Ein Kommentar von Richard Werner, Business Consultant bei Trend Micro zur Kaseya-Krise.

Am Wochenende des 4. Juli, dem Nationalfeiertag der USA, traf eine Cyberattacke den Service-Provider Kaseya und breitete sich rasch auf dessen Kunden und weitere Unternehmen aus. Laut der News-Plattform Bleepingcomputer waren etwa 50 direkte Kunden des Anbieters betroffen, die als Service-Provider wiederum ihre Kunden infizierten. Weltweit, so die Newsagentur, sind wohl etwa 1.500 Unternehmen betroffen.

Anzeige

50 Kaseya-Kunden infizieren 1.500 weitere Unternehmen

Trend Micro kann bestätigen, dass es auch in Deutschland Vorfälle gab. Die Tatsache, dass der Angriff an einem der wichtigsten Feiertage der USA stattfand, ist kein Zufall, sondern sorgfältiges Kalkül der Täter – das aufging. Nicht nur, dass IT-Security-Teams an Wochenenden und Feiertagen grundsätzlich unterbesetzt sind, auch die Kommunikationsketten zu den betroffenen Kunden waren unterbrochen, so dass sich der Angriff vielfach ungehindert ausbreiten konnte. Geht man von der Anzahl parallel betroffener Unternehmen aus, ist die Cyberattacke sicherlich eine der größten in der Geschichte der IT-Security. Zerlegt man sie in ihre Einzelteile, so drängen sich allerdings viele Parallelen zu anderen Angriffen auf. Aus dem groben, sich wiederholenden Schema können Unternehmen für ihre Infrastruktur einige wissenswerte Lehren ziehen:

Alles beginnt mit der Sicherheitslücke

Auffällig beim Fall „Kaseya“ ist, dass eine Sicherheitslücke in der Software verwendet wurde, die zum Zeitpunkt der Tat dem Hersteller bekannt war und deren Schließung sich bereits in der Beta-Phase befand. Den Angreifern verblieb demnach nicht mehr viel Zeit, wollten sie erfolgreich sein. Der Service-Provider wurde über sogenanntes „responsible disclosure“ auf das Vorhandensein der Schwachstelle aufmerksam gemacht und arbeitete an der Schließung. Ungewöhnlich ist der zeitliche Zusammenhang dennoch und lässt Raum für Interpretationen. Zwar ist die Patch-Problematik in der IT-Security weit bekannt, jedoch sollten Unternehmen im Hinterkopf behalten, dass Angreifer nicht nur bei Microsoft oder anderen weit verbreiteten Software-Varianten nach Schwachstellen suchen, sondern auch in der Software von IT-Dienstleistern. Dabei stehen insbesondere Applikationen im Fokus, die in direkter Kommunikation mit mehreren Kundengeräten stehen. Betreibt man eigene Softwareentwicklung, muss dieser Umstand ebenfalls Teil der Risikokalkulation sein.

Die Besonderheiten eines Supply-Chain-Angriffes

Der gesamte Vorfall lässt sich in die Kategorie „Supply-Chain-Angriff“ einordnen. In dieser noch relativ selten aber immer häufiger auftretenden Kategorie infiziert der Täter zunächst IT-Dienstleister. Diese sind deshalb so interessant, weil sie zu anderen Unternehmen stehende oder aktivierbare IT-Verbindungen unterhalten. Betroffen sind beispielsweise Update-Mechanismen, die direkt Aktualisierungen in fremden Systemen durchführen, aber auch Fernwartungssysteme, Auftragsverarbeitungen und ähnliches. Dies hat zur Folge, dass die Täter in der Lage sind, eine Maschine, in der Regel einen Server, im Rechenzentrum des Opfers zu übernehmen. Im Gegensatz zu „klassischen“ Angriffen werden dabei die gesamte Netzwerksicherheit sowie clientbasierte Sicherheitslösungen umgangen. Übrig bleibt, was auf den Serversystemen aktiviert ist und die Kommunikationen zwischen Serversystemen überwacht.

Veraltete Antivirus-Technologie öffnet Wege

Gerade in On-Premises-Rechenzentren ist das sehr häufig veraltete Antivirus-Technologie. Zudem fehlen oft wichtige Sicherheitspatches – für den Fall, dass es sich überhaupt um supportete Betriebssysteme handelt. Dieser Umstand sorgt dafür, dass der Täter das finale Opfer oft extrem schnell ausschalten und sich quasi unerkannt in Systemen bewegen kann. Je größer der initiale Schaden, desto besser für den Angreifer, da dadurch enormer Druck aufgebaut werden kann. Das spezielle Angebot von Kaseya bot den Kriminellen die Möglichkeit, nicht nur direkt Unternehmen, sondern auch deren Kunden zu erreichen. Dies erklärt die im Verhältnis große Zahl der Opfer. Supply-Chain-Angriffe sind im Verhältnis selten, weil sie für einen Angreifer kompliziert und mit hohem Aufwand verbunden sind. Ihre Wirkung ist allerdings oft fatal.

Die Lehren aus „Kaseya“

Wichtig ist zu verstehen, dass es sich hier nicht um eine vorübergehende Welle handelt. In der sich aktuell stark verändernden IT-Sicherheitslandschaft sind in vielen Fällen äußere Faktoren für die aktuelle Situation verantwortlich. Zu diesen zählen der Stellenwert der IT in Unternehmen, der allgemeine Umgang mit IT durch Mitarbeiter sowie das Aufkommen von Bitcoin. Während die ersten beiden dazu beitragen, dass die IT und damit vor allem die IT-Security in Unternehmen immer komplexer und damit unübersichtlicher werden, hat das Entstehen von Cryptowährungen tatsächlich den Cyber-Untergrund revolutioniert. Dies erlaubt den Protagonisten im Untergrund eine zunehmende Spezialisierung und den uneingeschränkten Handel untereinander. Alle drei Faktoren lassen sich nicht mehr umkehren. Die angesprochene Komplexität wird damit zunehmend zur Belastung der Verteidiger was sowohl im übertragenem als auch im rein zwischenmenschlichen Miteinander für Probleme sorgt. Unternehmen müssen deshalb Ihre aktuelle Security-Strategie auf moderne Angriffstechniken prüfen. Das Beispiel von Kaseya kann dabei helfen.

Mehr bei TrendMicro.com

 


Über Trend Micro

Als einer der weltweit führenden Anbieter von IT-Sicherheit hilft Trend Micro dabei, eine sichere Welt für den digitalen Datenaustausch zu schaffen. Mit über 30 Jahren Sicherheitsexpertise, globaler Bedrohungsforschung und beständigen Innovationen bietet Trend Micro Schutz für Unternehmen, Behörden und Privatanwender. Dank unserer XGen™ Sicherheitsstrategie profitieren unsere Lösungen von einer generationsübergreifenden Kombination von Abwehrtechniken, die für führende Umgebungen optimiert ist. Vernetzte Bedrohungsinformationen ermöglichen dabei besseren und schnelleren Schutz. Unsere vernetzten Lösungen sind für Cloud-Workloads, Endpunkte, E-Mail, das IIoT und Netzwerke optimiert und bieten zentrale Sichtbarkeit über das gesamte Unternehmen, um Bedrohung schneller erkennen und darauf reagieren zu können..


 

Passende Artikel zum Thema

Fünf lokale Schwachstellen in needrestart entdeckt

Ein Anbieter von Cloud-basierten IT-, Sicherheits- und Compliance-Lösungen, gab bekannt, dass die Qualys Threat Research Unit (TRU) fünf Local Privilege ➡ Weiterlesen

Cloud Rewind für Wiederaufbau nach einer Cyberattacke

Eine neue Lösung für Cyber Recovery und zum Rebuild cloudzentrierter IT-Infrastrukturen. Commvault Cloud Rewind mit neuen Funktionen zum Auffinden von ➡ Weiterlesen

RAG: Innovative KI-Technologien bringen Gefahren mit sich

Seit der Einführung von ChatGPT 2022 wollen immer mehr Unternehmen KI-Technologien nutzen – oft mit spezifischen Anforderungen. Retrieval Augmented Generation ➡ Weiterlesen

Ransomware Helldown nutzt Schwachstellen in Zyxel Firewalls aus

Wie das BSI meldet, gab es vermehrt Angriffe mit der Ransomware Helldown auf Unternehmensnetzwerke über eine Schwachstelle in Zyxel Firewalls. ➡ Weiterlesen

2025: Wer will IT-Security-Verantwortlicher sein?

Wie jedes Jahr haben die IT-Security-Spezialisten von WatchGuard Technologies auch Ende 2024 einen Blick in die Zukunft gewagt und ihre ➡ Weiterlesen

Active-Directory-Sicherung und -Wiederherstellung

Ransomware-Bedrohungen oder auch aktive Angriffe sind für Unternehmen längst Bestandteil ihres Alltags. Viele Attacken auf Identity-Systeme und allen voran Active ➡ Weiterlesen

Zero-Trust-Segmentation gegen Ransomware

Ein Anbieter kündigt mit Zero-Trust-Segmentation die erste Lösung für Zero-Trust-Segmentierung an, die eine sichere, agile und kostengünstige Möglichkeit bietet, User, ➡ Weiterlesen

Neue Gefahren durch Ransomware-Gruppe RansomHub

Ein Anbieter einer KI-gestützten, Cloud-basierten Cyber-Sicherheitsplattform hat einen Bericht zu Ransomware-Aktivitäten und -Trends aus dem vergangenen Monat September 2024 veröffentlicht. ➡ Weiterlesen