Nach dem Kaseya-Hack auf MSP-Kunden

Kaseya-Trittbrettfahrer unterwegs

7. Juli 2021, 11:21 Uhr | Martin Fryba
© AdobeStock/Przemek Klos

Die Schäden nach dem Ransomware-Angriff über die VSA-Plattform von Kaseya sind noch kaum zu überblicken, da droht Unternehmen Gefahr von Trittbrettfahrern. Es wiederholt sich ein Muster, das Security-Experten schon aus dem Solarwinds-Angriff und weiteren Attacken kennen.

Viele Unternehmen sind nach dem spektakulären Ransomware-Angriff über die VSA-Software von Kaseya vom vergangenen Wochenende noch immer sehr verunsichert. Der Angriff wurde immerhin in der Tagesschau am 5.Juli 2021 thematisiert – mehr Aufmerksamkeit geht nicht. Auch wenn ihre Systeme nicht kompromittiert wurden, herrscht bei vielen Unternehmen eine hohe Verunsicherung. Nicht jeder MSP, der die Systeme als externer Dienstleister betreut und Kaseya VSA einsetzt, sucht aktiv den Dialog mit seinen  Kunden. Das übernehmen nun Cyberkriminelle – Trittbrettfahrer, die sich per E-Mail samt Anhang an die ratlose Klientel wenden und IT-Sicherheit versprechen.

Das Threat-Intelligence-Team von Malwarebytes warnt nämlich vor einer neue Malspam-Kampagne im Zusammenhang mit dem Ransomware-Angriff auf Kaseya VSA. Per Mail bieten die Cyberkriminellen die Installation der Software Cobalt Strike an – ein bei Penetrationstestern bekanntes  Sicherheitstool, das Netzwerke nach Schwachstellen und Bugs durchforstet. Die Mails enthalten aber auch  einen Anhang mit dem Namen „SecurityUpdates.exe“ sowie einen Link, der vorgibt, ein Sicherheitsupdate von Microsoft zur Behebung der Kaseya-Schwachstelle zu sein, hat Malwarebytes identifiziert.

„Organisationen müssen weiterhin auf der Hut sein, weil dies nicht der einzige Angriff dieser Art sein wird, der die Kaseya-Schwachstelle auszunutzen versucht“, warnt der Security-Dienstleister.

Die Taktik, kurz nach einem spektakulären Cyberangriff im wahrsten Sinn des Wortes „nachzuladen“ und zwar mit einer legitimen Software wie  Colbalt Strike, haben Security-Experten zuletzt beim ähnlich spektakulären Hack auf die MSP-Plattform von Kaseya-Wettbewerber Solarwinds beobachtet, der im Dezember 2020 durch die Medien ging.

Dass Cobalt Strike nicht nur hilfreich, sondern auch ein sehr beliebtes Tool bei  Cyberkriminellen ist, überrascht die  Security-Experten von Proofpoint nicht. Erst vor wenigen Tagen warnte das Security-Unternehmen vor einem „noch nie dagewesenen hohen Einsatz von Cobalt Strike als Schadsoftware“.

Anbieter zum Thema

zu Matchmaker+

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Solarwinds

Weitere Artikel zu Malwarebytes

Weitere Artikel zu Public Cloud

Weitere Artikel zu Betriebs-Sicherheit

Weitere Artikel zu Cloud Backup

Matchmaker+