Hohes Schadenspotenzial
MSPs im Fadenkreuz
Für Cyberkriminelle sind Managed Services Provider ein attraktives Ziel, weil sie deren Systeme als Einfallstor zu den Netzwerken von Kunden missbrauchen können. Schädlinge wie »GrandCrab« und »Sodinokibi«, aber auch verschiedene Phishing-Angriffe zeigen, dass MSPs ganz gezielt attackiert werden.
Managed Service Provider geraten immer häufiger ins Visier von Cyberkriminellen. Durch eine hohe Dichte an sensiblen Daten verschiedener Kunden sind sie ein attraktives Ziel und in Bezug auf das Schadenspotenzial durchaus mit kritischen Infrastrukturen zu vergleichen. Für Systemhäuser und andere Anbieter von Managed Services heißt das, dass sie sich auf immer mehr Attacken einrichten müssen, denn Malware wie »GrandCrab« und »Sodinokibi«, aber auch verschiedene Phishing-Angriffe zeigen, dass sie gezielt attackiert werden.
Mit GrandCrab schaffte es 2018 erstmals eine als Trojaner konzipierte Ransomware, durch entsprechende Modifikation auch eine ernstzunehmende Bedrohung für MSPs zu werden. Nachdem sich die Programmierer von GrandCrab aus diesem kriminellen Projekt zurückzogen, schien es erst einmal ruhiger geworden zu sein. Doch dann wurde im Sommer 2019 der Trojaner Sodinokibi aktiv. Er nutzte die gleiche Sicherheitslücke wie zuvor GrandCrab und ist seitdem eine hohe Gefahr für Managed Service Provider. Die Ransomware nutzt eine Sicherheitslücke des Oracle WebLogic Servers. Wenn beispielsweise Java-Anwendungen von Systemhäusern im Zuge ihrer MSP-Aktivitäten verfügbar gemacht werden, können diese Schnittstellen Lücken für bestimmte Angriffsvektoren aufweisen.
Die Sicherheitsexperten von Eset verweisen auf mindestens drei Fälle, in denen Angreifer mit Sodinokibi den Schutzschild von MSPs durchbrochen haben und Malware an ahnungslose Kunden verbreiten konnten. Im ersten Fall missbrauchten Hacker das Remote Desktop Protocol, um Zugang zu den RMM-Tools. Von diesem Standpunkt aus waren die Angreifer in der Lage, Client-Endpunktschutzlösungen zu deinstallieren und die Lösegeldforderung von Sodinokibi zu verbreiten. Im zweiten Fall geriet eine bei Zahnarztpraxen verbreitete Datensicherungslösung ins Visier. Trotz der Datensicherung der Zahnarztpraxen in Cloud-, Offline- und In-Office-Standorten gelang es Sodinokibi, die Daten der angeschlossenen Client-Systeme zu verschlüsseln, sodass die Kunden keinen Zugriff auf ihre Backups hatten. Im dritten Fall schließlich kompromittierte Sodinokibi ein weiteres RMM-Tool und verschlüsselte Kundendaten in verschiedenen Netzwerken. Die Masche der Kriminellen war in jedem Fall die gleiche. Die Ransomware infizierte die Clients, indem sie die Dashboards zur Fernverwaltung der MSPs gekapert hat.
Doch Sodinokibi nutzt auch klassische Phishing-Wege, um MSPs zu attackieren. Dabei werden in bestimmten Varianten der Malware Mitarbeiter per Mail aufgefordert, Links in Serviceprotokollen anzuklicken. Auf diese Weise wird die Ransomware dann in Client-Systeme eingeschleust und kann sich über die MSP-Anbindung im Data Center einnisten. Ziel ist die Durchführung einer sogenannten Remote Code Execution, um die befallenen Systeme zu verschlüsseln.
Weiter entwickelte Varianten der Ransomware sind in extern gehosteten Exploit-Kits integriert, die die Webanwendungen der Seitenbesucher wie JRE, MS Silverlight, JavaScript oder den Adobe Flash Player gezielt nach Schwachstellen durchsuchen. Jede entdeckte Lücke wird zum Einschleusen der Ransomware missbraucht. Für MSPs ein großes Problem: Sie müssen immer den genauen Überblick über alle beim Kunden eingesetzten Anwendungen und deren Versionen behalten, damit sie solche Lücken frühzeitig erkennen zu können.
- MSPs im Fadenkreuz
- Remote-Zugänge als Risiko
Lesen Sie mehr zum Thema
