Vor ein paar Wochen hatten Hacker den weltgrößten Fleischkonzern JBS weitestgehend lahmgelegt.
Direkt vor diesem Wochenende, an dem heute der Unabhängigkeitstag der USA (4. Juli) gefeiert wird, griffen sie in einer neuen Angriffswelle gleich mehr als Tausend Unternehmen an.
Dazu nutzten die Kriminellen eine Schwachstelle in der Software VSA des IT-Dienstleisters Kaseya aus, um dessen Kunden dann mit der Erpressungssoftware REvil anzugreifen.
Erste Opfer auch in Europa
In Schweden mussten an die 1.000 Supermärkte der Coop-Kette schließen, weil die Kassen von deren Zahlungsdienstleister Visma Esscom von der Ransomware verschlüsselt wurden. Auch der staatliche Bahnverkehr und eine Apothekenkette wurden in Schweden angegriffen.
Ein deutscher IT-Dienstleister und damit auch dessen Kunden sollen nach Angaben des ZDF ebenfalls davon betroffen sein.
Angriff über die Wartungssoftware VSA
Es hätte deutlich mehr Kunden treffen können, denn Kaseya hat insgesamt über 36.000 davon. Mit Hilfe der Fernzugriffs- und Wartungssoftware VSA von Kaseya verteilen diese Unternehmen Software-Updates in ihren Netzwerken. Deshalb kann das Hacken der VSA-Software den Angreifern also Zugriff auf Tausende von Kundennetzwerken verschaffen.
Am Freitag stoppte Kaseya schon seinen Cloud-Service und warnte seine Kunden, sofort alle lokal laufende VSA-Systeme abschalten. Dabei waren die Kunden des Cloud-Dienstes nach Angaben des Unternehmens zu keinem Zeitpunkt gefährdet, weil alle betroffenen Firmen VSA-Installationen nutzten.
Inzwischen gibt sich Kaseya zuversichtlich, die für den Angriff benutzte Schwachstelle gefunden zu haben und will sie jetzt schließen um die Systeme nach einem Sicherheitstest wieder hochzufahren, informierte der IT-Dienstleister.
Kaseya Software wurde schon 2019 für Angriffe genutzt
Die Kaseya-Software wurde auch schon 2019 für Angriffe benutzt, und nun ist die Kaseya-Lücke die zweite bekanntgewordene Attacke innerhalb weniger Monate, bei der sich Cyberkriminelle über einen IT-Dienstleister Zugang in die Systeme seiner Kunden verschaffen konnten. Im ersten Fall waren die Angreifer über Wartungssoftware der Firma Solarwinds (vermutlich zu Spionage-Zwecken) in Computernetzwerke von mehreren US-Regierungsbehörden eingedrungen, so auch unter anderem beim Finanz- und Energieministerium.