CyberCompare

9. Juli 2021: Großer Angriff auf Lieferketten ++ Cyberangriff auf Schweizer Vergleichsportal ++ Unvollständiger Microsoft Notfall-Patch veröffentlicht

Kaseya: „Riesiger und verheerender Angriff auf Lieferketten“

Der Hackerangriff auf den US-Anbieters Kaseya zieht Kreise bis nach Europa. Die schwedische Supermarktkette Coop, einer der größten Lebensmittelhändler des Landes, musste als Folge des Angriffs alle 800 Filialen schließen. Die Attacke habe die Kassensysteme blockiert, sagte eine Unternehmenssprecherin. Auch die staatliche Eisenbahn und eine Apothekenkette berichteten von Störungen.

„In einer anderen geopolitischen Lage könnten uns staatliche Akteure auf diese Weise angreifen, um die Gesellschaft lahmzulegen und Chaos anzurichten“
– Schwedischer Verteidigungsminister Peter Hultqvist

Seit vergangenen Freitag sind weltweit Tausende Firmen lahmgelegt worden. Die Hackergruppe „REvil“ steht im Verdacht, das Desktop-Management-Tool VSA von Kaseya gekapert und ein schadhaftes Update aufgespielt zu haben, das Kunden des US-Tech-Management-Anbieters infiziert. So auch im Fall von Coop.

Kaseya hatte seine Kunden nach dem Angriff aufgefordert, sofort ihren VSA-Server abzuschalten, „bis Sie von uns weitere Informationen erhalten“.

Dem US-Sicherheitsdienstleister Huntress zufolge waren in den USA acht IT-Dienstleister und rund 200 Unternehmenskunden betroffen. „Das ist ein riesiger und verheerender Angriff auf Lieferketten“, erklärte Huntress-Manager John Hammond.

Experten gehen derzeit davon aus, dass sich die Hacker möglicherweise übernommen haben, indem sie zu viele Daten von vielen Unternehmen auf einmal verschlüsselten. „Trotz des großen Geredes in ihrem Blog denke ich, dass die Sache aus dem Ruder gelaufen ist“, sagte Allan Liska von der Cybersicherheitsfirma Recorded Future.

Für REvil bedeutet das potenziell weniger Lösegeld, denn üblicherweise nehmen sich Cyberkriminelle einige Zeit, um Daten zu stehlen und Backups zu löschen, bevor sie schließlich die Geräte des Opfers verschlüsseln. Wenn einem Opfer ein Beweis für die gestohlenen Daten gezeigt wird, Backups gelöscht werden und seine Geräte verschlüsselt werden, schafft dies einen stärkeren Anreiz für die Opfer, das Lösegeld zu zahlen, um ihre Daten wiederherzustellen und das Datenleck zu verhindern.

Die für diesen Angriff verantwortliche Hackergruppe REvil hat auf Standardtaktiken verzichtet. Stattdessen nutzten sie eine Zero-Day-Schwachstelle in den VSA-Servern von Kaseya vor Ort, ohne tatsächlich auf das Netzwerk eines Opfers zuzugreifen. Diese Taktik führte zum größten Ransomware-Angriff der Geschichte, bei dem etwa 1.500 einzelne Unternehmen in einem einzigen Angriff verschlüsselt wurden.

Laut BleepingComputer hätten zwar zwei Unternehmen ein Lösegeld bezahlt  – doch der Cyber-Angriff scheint insgesamt nicht annähernd so erfolgreich, wie REvil erwartet hätte. Es wurden wohl keine Backups gelöscht und keine Daten gestohlen, was der Hackergruppe wenig Einfluss auf die Opfer verschafft.

Bei Kaseya haben sich die Hacker dafür entschieden, jeden einzelnen Kaseya-Kunden zu treffen, indem sie die Software gegen das direkte Eindringen in das Netzwerk eines „Managed Services Provider“ (MSP) ins Visier nahmen. Indem sie sich für eine so breite Wirkung entschieden haben, scheinen sie den Schritt des Verschlüsselns/Löschens von Backups auf der MSP-Kontrollebene geopfert zu haben.

Das könnte am Ende eine kleine Rettung sein, sogar für MSPs, der schlecht segmentierten Backups für ihre Kunden hatte.

Quelle:

https://www.bleepingcomputer.com/news/security/revil-victims-are-refusing-to-pay-after-flawed-kaseya-ransomware-attack/

https://www.watson.ch/digital/schweiz/195531474-revil-hacker-fordern-angeblich-nur-noch-50-millionen-dollar-loesegeld

https://www.tagesschau.de/ausland/cyberangriff-schweden-101.html

Cyberangriff auf größtes Schweizer Vergleichsportal

Der Schweizer Internet-Vergleichsdienst Comparis ist Opfer eines Ransomware-Angriffs geworden. Das bestätigte das Unternehmen am Donnerstagmorgen.

Zu diesem Zeitpunkt war Comparis bereits 24 Stunden offline. Laut eigener Pressemitteilung seien keine Kundendaten betroffen:

„Comparis wurde Opfer einer sogenannten Ransomware-Attacke. Dadurch wurden einige IT-Systeme inklusive der Website Comparis.ch blockiert und aus Sicherheitsgründen bewusst heruntergefahren.

Comparis.ch arbeitet zusammen mit seinen Cybersecurity-Partnern mit Hochdruck an einer Lösung. Kundendaten sind nach aktuellem Kenntnisstand von dem Vorfall nicht betroffen. Wir bedauern die durch die Attacke verursachten Unannehmlichkeiten.“

Laut Sprecher Michael Kuhn forderten die Angreifer ein Lösegeld in Höhe von 400’000 Dollar, zahlbar in einer Kryptowährung. Man sei nicht per E-Mail kontaktiert worden, sondern habe in verschlüsselten Bereichen einen Link auf eine URL erhalten, wo die Forderung genannt wurde. Das Unternehmen sei aber nicht auf die Forderungen eingegangen

Wir haben kein Lösegeld bezahlt und werden auch keines bezahlen“

– Comparis-Sprecher Michael Kuhn

Inzwischen ist die Website comparis.ch wieder online. Ob der Angriff in Zusammenhang mit dem Hack der REvil Gruppe steht, ist unklar.

Quellen:

https://www.tagesanzeiger.ch/hacker-greifen-comparis-an-495012049008

https://www.watson.ch/digital/schweiz/424415074-vergleichsdienst-comparis-ch-down-opfer-einer-ransomware-attacke

PrintNightmare: Microsoft veröffentlicht unvollständigen Notfall-Patch

Microsoft hat damit begonnen, einen Notfall-Patch für Windows auszurollen, um eine kritische Schwachstelle im Windows Print Spooler-Dienst zu beheben. Die Schwachstelle mit dem Namen PrintNightmare wurde letzte Woche aufgedeckt, nachdem Sicherheitsforscher versehentlich Proof-of-Concept (PoC) Exploit-Code veröffentlicht hatten.

Mehr Informationen zu dem Vorfall haben wir in den News letzter Woche veröffentlicht: https://cybercompare.de/2-juli-2021-cyber-angriff-auf-modekette-11-ransomware-opfer-in-weiden-schadcode-lucke-in-windows/

Microsoft stuft die Sicherheitslücke als kritisch ein, da Angreifer auf den betroffenen Rechnern aus der Ferne Code mit Rechten auf Systemebene ausführen können. Da Angreifer die Lücke bereits aktiv ausnutzen, sollten Admins schnell reagieren und die Patches installieren.

Der PrintNightmare-Patch ist nun für alle Windows-Versionen verfügbar. Aufgrund der Gefährlichkeit der PrintNightmare getauften Schwachstelle (CVE-2021-34527) gibt es sogar Patches für Windows 7. Sicherheitsforschern ist es allerdings immer noch gelungen, den PrintNightmare-Patch zu umgehen. Laut ihnen schützt er nicht komplett vor Attacken. Wenn in der Point and Print-Policy die Funktion „NoWarningNoElevationOnInstall“ aktiv ist, helfe der Patch nicht. Davor warnt unter anderem das CERT der Carnegie Mellon University. Über die Policy können sich Computer ohne Installationsmedium mit einem entfernten Drucker verbinden.

Microsoft versichert allerdings, dass der vor wenigen Tagen veröffentlichte Notfallpatch die PrintNightmare-Sicherheitslücke in allen Windows-Versionen korrekt schließt. Damit das gegeben ist, muss Windows aber in den Standardeinstellungen laufen.

Es ist wahrscheinlich, dass die Policy vor allem im Firmenumfeld von Admins eingesetzt wird, um das Drucken zu vereinfachen. Admins sollten dementsprechend im Editor für lokale Gruppenrichtlinien unter Administrative Vorlagen -> Drucker -> Point-and-Print-Einschränkungen prüfen, ob der Dienst konfiguriert und aktiv ist.

Läuft der Dienst, müssen Admins auf Workarounds zurückgreifen und beispielsweise Print Spooler komplett deaktivieren, um Computer zu schützen. Ob Microsoft das Problem kennt und einen neuen Patch plant, ist derzeit unbekannt.

Quelle:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

https://www.heise.de/news/Notfallpatch-Microsoft-schliesst-PrintNightmare-Luecke-in-Windows-6130503.html

https://www.theverge.com/2021/7/6/22565868/microsoft-printnightmare-windows-print-spooler-service-emergency-patch-hotfix

https://www.heise.de/news/Windows-Update-unvollstaendig-Sicherheitsforscher-umgehen-Printightmare-Patch-6131519.html

Sie denken über OT- und IoT-Sicherheit nach? CyberCompare hat geprüfte Anbieter im Portfolio und liefert Ihnen als unabhängiger Marktteilnehmer kostenfreie und unverbindliche Vergleichsangebote. Sprechen Sie uns an (Mail an uns) oder testen Sie Ihr Cyberrisikoprofil mit unserer Diagnostik.

Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.

Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.