{"id":14915,"date":"2021-07-05T16:00:17","date_gmt":"2021-07-05T14:00:17","guid":{"rendered":"https:\/\/www.secuinfra.com\/?p=14915"},"modified":"2022-03-31T12:10:46","modified_gmt":"2022-03-31T10:10:46","slug":"kaseya-supply-chain-angriff","status":"publish","type":"post","link":"https:\/\/testing.secuinfra.com\/de\/techtalk\/kaseya-supply-chain-angriff\/","title":{"rendered":"Kaseya: Supply-Chain-Angriff"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_83 counter-flat ez-toc-counter ez-toc-white ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">[inhalt_uebersetzt]<\/p>\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/kaseya-supply-chain-angriff\/#Ueberblick\" >\u00dcberblick<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/kaseya-supply-chain-angriff\/#Charakteristik_des_Kaseya-Angriffs\" >Charakteristik des Kaseya-Angriffs<\/a><\/li><\/ul><\/nav><\/div>\n<h2><span class=\"ez-toc-section\" id=\"Ueberblick\"><\/span>\u00dcberblick<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Nachdem sich REvil zuvor mit dem Angriff auf Gro\u00dfunternehmen wie Quanta Computer und Invernergy in der kriminellen Szene einen Namen gemacht hat, sind durch den neuesten Angriff auf das Softwareunternehmen Kaseya und dessen Update Service weltweit vermutlich mehrere hundert Unternehmen betroffen. Diese so genannten Supply-Chain-Attacks zielen speziell auf Unternehmen dessen Software in vielen Betrieben im Einsatz ist. Der so erzeugte Domino-Effekt hilft dem Angreifer sich schnell und m\u00f6glichst weit zu verbreiten.<\/p>\n<p>&nbsp;<\/p>\n<figure id=\"attachment_14918\" aria-describedby=\"caption-attachment-14918\" style=\"width: 523px\" class=\"wp-caption alignnone\"><img fetchpriority=\"high\" decoding=\"async\" class=\"wp-image-14918\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Revil-Kaseya-300x86.png\" alt=\"REvil bekennt sich zu Angriff auf Kaseya\" width=\"523\" height=\"150\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Revil-Kaseya-300x86.png 300w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Revil-Kaseya-1024x292.png 1024w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Revil-Kaseya-768x219.png 768w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Revil-Kaseya-1536x438.png 1536w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Revil-Kaseya-24x7.png 24w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Revil-Kaseya-36x10.png 36w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Revil-Kaseya-48x14.png 48w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Revil-Kaseya.png 1956w\" sizes=\"(max-width: 523px) 100vw, 523px\" \/><figcaption id=\"caption-attachment-14918\" class=\"wp-caption-text\">REvil bekennt sich zum Angriff auf Kaseya<\/figcaption><\/figure>\n<p>Meist werden dazu Update Services manipuliert, welche nach dem Ausrollen an die Kunden des betroffenen Unternehmens als Eintrittsvektor f\u00fcr die Angreifer dienen.<\/p>\n<p>Anschlie\u00dfend werden, Ransomware typisch, Daten des getroffenen Unternehmens extrahiert und die befallenen Systeme verschl\u00fcsselt. Durch das Zahlen eines L\u00f6segelds sollen die gestohlenen Daten gel\u00f6scht und der Generalschl\u00fcssel f\u00fcr die verschl\u00fcsselten Daten bereitgestellt werden. Allgemein wird jedoch aus mehreren Gr\u00fcnden davon abgeraten dieser Forderung nachzukommen.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Charakteristik_des_Kaseya-Angriffs\"><\/span>Charakteristik des Kaseya-Angriffs<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Das im j\u00fcngsten Fall betroffene Produkt VSA der Firma Kaseya ist eine L\u00f6sung f\u00fcr Fernzugriff, Fernwartung und Software-Updates. Kaseya hat mittlerweile seinen Cloud-Service gestoppt und empfiehlt seinen Kunden lokale VSA-Systeme auszuschalten. Das Unternehmen gibt an, die Schwachstelle gefunden zu haben und diese demn\u00e4chst schlie\u00dfen zu wollen. Ist der Angreifer erstmal auf die internen Systeme gelangt, gilt es jedoch weitere Ma\u00dfnahmen zu ergreifen.<\/p>\n<p>Durch Betreuung von Kunden mit Ransomware, speziell auch der REvil Ransomware-Gruppe, ist SECUINFRA bestens mit dem Thema vertraut und schnell in der Lage den Umfang der Infektion einzusch\u00e4tzen und schadensbegrenzende Ma\u00dfnahmen zu empfehlen.<\/p>\n<p>Dabei kamen die Spezialisten von SECUINFRA schon vorher bei verschiedenen Eins\u00e4tzen in Ber\u00fchrung mit der REvil Ransomware. Ein Fall zeigte dabei, dass ein Angreifer durch SEO Posining eine Domain m\u00f6glichst pr\u00e4sent bei Google platzierte, um somit nichts ahnende Nutzer dazu zu verleiten, Malware in Form des Trojaners Gootkit herunterzuladen. Die Malware tarnte sich dabei als Archiv Datei und wurde beim \u00d6ffnen automatisch auf dem System ausgef\u00fchrt. Dies er\u00f6ffnete den Angreifern einen Einstiegspunkt in das Unternehmensnetzwerk und f\u00fchrte somit zur Verbreitung der Ransomware.<\/p>\n<p>Um die Systeme vollst\u00e4ndig zu s\u00e4ubern und neu aufzubauen, analysierte SECUINFRA das Unternehmensnetzwerk umfassend und konnte somit auch Systeme identifizieren die nicht verschl\u00fcsselt und vermeintlich \u201esauber\u201c aussahen, jedoch Hinweise darauf enthielten, dass der Angreifer Zugriff auf diese hatte.<\/p>\n<p>SECUINFRA kann Sie als Dienstleister bei der Analyse, Beseitigung und dem Wiederaufbau ihrer Systeme umf\u00e4nglich beraten. Dabei \u00fcbernehmen wir die Rolle der <a href=\"https:\/\/testing.secuinfra.com\/services\/incident-response\/\">Ermittlungsleitung (Incident Handler)<\/a> und des <a href=\"https:\/\/testing.secuinfra.com\/services\/digital-forensics\/\">Forensikers (Digital Forensics)<\/a>.<\/p>\n<p><strong>Sie ben\u00f6tigen schnelle Hilfe? Treten Sie mit uns in <a href=\"https:\/\/testing.secuinfra.com\/incident\/\">Kontakt<\/a>!<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Nachdem sich REvil zuvor mit dem Angriff auf Gro\u00dfunternehmen wie Quanta Computer und Invernergy in der kriminellen Szene einen Namen gemacht hat, sind durch den neuesten Angriff auf Kaseya und dessen Update Service weltweit vermutlich mehrere hundert Unternehmen betroffen.<\/p>\n","protected":false},"author":6,"featured_media":27639,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[79,66],"tags":[],"dpc_coauthors":[],"class_list":["post-14915","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-digital-forensics","category-techtalk"],"acf":[],"_links":{"self":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/14915","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/comments?post=14915"}],"version-history":[{"count":0,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/14915\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media\/27639"}],"wp:attachment":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media?parent=14915"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/categories?post=14915"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/tags?post=14915"},{"taxonomy":"dpc_coauthors","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/dpc_coauthors?post=14915"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}