[English]Kleine Sammelmeldung zum Wochenabschluss, der den US-Anbieter Kaseya betrifft. Nach dem Lieferkettenangriff auf Kaseya RMI-Software und Verschlüsselung zahlreicher Kundensysteme ist in einem Untergrundforum ein Decryption-Key aufgetaucht. Zudem hat mich ein Blog-Leser auf ein Update hingewiesen, welches diverse Sicherheitslücken in einem Kaseya-Produkt schließt.
Vorgeschichte zum Lieferkettenangriff
Anfang Juli 2021 gab es einen erfolgreichen Lieferkettenangriff auf Kaseya VSA. Das ist eine Remote Management und Monitoring Software (RMM), die von vielen Managed Service Providern (MSPs) verwendet wird. Durch den Lieferkettenangriff wurde Malware auf alle Kundensysteme, bei denen VSA im Einsatz war, ausgeliefert. Ich hatte hier im Blog berichtet (siehe Links am Artikelende).
Die schwedische Coop-Gruppe musste sogar alle 800 Filialen schließen, weil ein Zahlungsabwickler vom Ransomware-Angriff auf seine Server durch die Kaseya-Schwachstelle betroffen war. Hoffnung gab es für Betroffene, dass die verschlüsselten Dateien gerettet werden könnten, weil der Hersteller ein Entschlüsselungstool erhalten hatte (siehe Kaseya hat nach Ransomware-Angriff Entschlüsselungstool erhalten). Allerdings hatte die REvil-Gruppe, die für den Angriff verantwortlich zeichnete, ihre Operation eingestellt und die Infrastruktur abgeschaltet (siehe Server und Infrastruktur der REvil Ransomware-Gruppe ist abgeschaltet).
Entschlüsselungs-Key in Hackerforum
Meine letzte Information zum Kaseya-Lieferkettenangriff war, dass die Kunden eine Geheimhaltungsverpflichtung unterschreiben mussten, um in den Genuss des Entschlüsselungs-Keys zu gelangen (siehe Kaseya fordert angeblich Geheimhaltungsverpflichtung gegen Entschlüsselungstool).
Nun berichten die Kollegen von Bleeping Computer in diesem Artikel, dass der universelle Entschlüsselungs-Schlüssel für den REvil-Angriff auf Kaseya-Kunden in einem Hackerforen aufgetaucht sei. Die Meldung bezieht sich auf obigen Tweet eines Sicherheitsforschers, der Bleeping Computer kontaktierte. Dieser Key funktioniert wohl nur für Opfer des Kaseya Hacks, und ist kein Universal-Decryptor-Key für andere REvil Ransomware-Fälle. Bleeping Computer war mit dem Key in der Lage, eine mit dem Kaseya-Schädling verschlüsselte VM wieder zu entschlüsseln. Details sind diesem Artikel zu entnehmen.
Unitrends Backup Software Update 10.5.5
Blog-Leser Stefan A. hat mich per Mail darauf hingewiesen, dass es das Update 10.5.5 für die Unitrends Backup Software von Kaseya gibt. Die Release Notes führen aus, dass einige Schwachstellen (z.B. SQL-Injection, Privilege Escalation etc.) beseitigt wurden, welche von der Dutch Institute for Vulnerability Disclosure (DIVD) entdeckt wurden.
Ähnlich wie Stefan in seiner Mail erwähnte, bin ich Ende Juli 2021 auch über diesen Artikel auf Bleeping Computer gestolpert. Dort mahnten Sicherheitsforscher vor ungepatchten Kaseya Unitrends Backup-Sicherheitslücken. Stefan schreibt dazu:
Ich bin hierzu schon vor einiger Zeit bei Bleeping Computer darüber gestolpert. Allerdings bin ich nie so wirklich schlau geworden aus der Warnung. Denn in der Warnung heißt es, dass Versionen kleiner als 10.5.2 betroffen sind. Aber zum Zeitpunkt war schon die Version 10.5.4 draußen. Zeitgleich hieß es aber, dass es hierfür noch kein Update gibt (siehe). Wie auch immer, nun hat sich wohl etwas getan.
Vllt. hat der eine oder andere Leser die Software im Einsatz und sie könnten einfach mal kurz darauf hinweien.
An dieser Stelle mein Dank an Stefan für die Information. Falls jemand von euch die Kaseya Software im Einsatz hat, mal nachschauen, ob die in aktueller Form vorliegt.
Ähnliche Artikel:
REvil Ransomware-Befall bei 200 Firmen über Kaseya VSA und Management Service Provider (MSP)
Coop-Schweden schließt 800 Geschäfte nach Kaseya VSA-Lieferkettenangriff durch REvil-Gang
Neues zum Kaseya VSA-Lieferkettenangriff und zum Coop-Schweden-Fall
Kaseya-Hack betrifft weltweit 1.500 Firmen, auch in Deutschland
Nachbereitung zum Kaseya-Lieferkettenangriff
Kaseya hat nach Ransomware-Angriff Entschlüsselungstool erhalten
Kaseya fordert angeblich Geheimhaltungsverpflichtung gegen Entschlüsselungstool