Kaseya-Angriff | Was ist passiert und wie sicher wären Watchguard Anwender?
Kaseya-Angriff: Stillstand durch die Hintertür
Egal ob Tagesschau, Spiegel oder IT-Fachmedien: Die Ransomware-Attacke, die sich über das Management-Tool des US-amerikanischen IT-Dienstleisters Kaseya in Unternehmen weltweit eingeschlichen hat, ist in aller Munde.
Nach Angaben des BSI (Bundesamt für Sicherheit in der Informationstechnik) sind nach derzeitigem Stand auch deutsche IT-Dienstleister und Unternehmen betroffen.
Daher zunächst mal die gute Nachricht vorweg: Für Managed Service Provider und Kunden, bei denen eine der WatchGuard- bzw. Panda-Lösungen für Endpunktsicherheit im Einsatz ist, besteht kaum Grund zur Sorge. Das Endpoint-Security-Portfolio bietet Schutz gegenüber der bei diesem Kaseya-Angriff verwendeten Malware. Auch die Netzwerkprodukte von WatchGuard (Firebox), sind in der Lage, einen solchen Angriff zu erkennen – sofern die Übertragung der Malware über Proxies läuft, auf denen die Netzwerksicherheitsdienste von WatchGuard ihren Dienst verrichten.
Kaseya | Schauen wir auf das Angriffsmuster
Nichtsdestotrotz lohnt es sich, einmal genauer auf das Angriffsmuster zu schauen – allein schon deshalb, um auch gegenüber vergleichbaren Angriffen in Zukunft gerüstet zu sein. Springen wir also in der Zeit kurz zurück: Die ersten Auffälligkeiten auf Basis der WatchGuard-Daten zeigten sich Freitag, 2. Juli, kurz vor 16 Uhr Ortszeit. Obwohl hier nur Ereignisse auf Seiten von WatchGuard-Anwendern einfließen, deckt sich diese Zeitangabe auch mit weiteren Rückmeldungen aus dem IT-Security-Netzwerk. Seitdem rollt die Lawine. Ausgangspunkt des Hacks ist der Software-Zulieferer Kaseya.
Über die On-Premises-Version der RMM-Software Kaseya VSA (Remote Monitoring and Management) wurden zunächst Managed Service Provider zum Opfer, wobei die Malware auch unmittelbar auf deren Kunden übergriff und relevante Systeme verschlüsselte. Von Produktionsausfällen ist bisher nichts bekannt, allerdings mussten aufgrund kompromittierter Kassensysteme am Wochenende beispielsweise Hunderte von Supermärkten in Schweden schließen. Nach jüngsten Angaben sind etwa 1.500 Unternehmen in 17 Ländern betroffen, wobei durchaus mit weiteren Meldungen zu rechnen ist. Mittlerweile liegt auch eine konkrete Lösegeldsumme vor: Die Hackergruppe „REvil“ fordert in Summe 70 Millionen Dollar. Im Gegenzug bietet sie eine Software, mit der sich die Verschlüsselung aller betroffenen Daten und Anwendungen weltweit aufheben lässt.
Kaseya Angriff | Alle Details auf "Secplicity"
Wie genau die Kriminellen ungepatchte Sicherheitslücken im Kaseya-Produkt ausnutzten, zeigen wir im englischsprachigen „Secplicity“-Blogbeitrag auf. Hier werden auch alle neuen Erkenntnisse zu diesem Wellen schlagenden Sicherheitsvorfall sukzessive ergänzt. Kaseya selbst arbeitet auf Hochtouren an der Schließung des Einfallstores. Die dringende Empfehlung lautet: Jeder, der einen On-Premises-VSA-Server nutzt (die SaaS-Version scheint nicht betroffen zu sein), sollte diesen ausschalten oder aus dem Netzwerk entfernen, bis Kaseya den Fix veröffentlicht.
Ransomware-Abwehr erfordert ganzheitliches Sicherheitskonzept
In dem Zusammenhang möchten wir bereits an dieser Stelle noch einmal auf die Bedeutung eines mehrschichtigen Sicherheitsansatzes für Managed Service Provider wie Unternehmen hinweisen. Selbst wenn neuartige Angriffe wie dieser nicht vorhersehbar sind, können Schutzmechanismen, die vom Netzwerk bis zum Endpunkte reichen, dazu beitragen, die schlimmsten Auswirkungen zu minimieren, bis Patches vorliegen und andere Maßnahmen ergriffen werden können. Viele Informationen dazu bietet auch unser Whitepaper „Ransomware-Abwehr mit Unified Security von WatchGuard“.
Quelle: Watchguard Blog | 07 Juli 2021
WatchGuard Firebox Support, Beratung und flexibel mieten
TIPP: WatchGurad Firewall T20 + VPN für kleine Firmen, Home Office, Außenstellen empfehlen wir bis 5 User
Wir bieten Unternehmen WatchGuard-Firewall Lösungen. Expertenwissen, Konzeption und für zentrale Sicherheit Ihres Netzwerks. Als MSP haben Sie als Unternehmen bei uns die Möglichkeit ihre WatchGuard Firewall auch flexibel zu mieten.
WatchGuardONE Gold Partner in Hamburg - Nur einen Anruf entfernt: