Ransomware-Angriff auf deutsche Unternehmen

Kunden des IT-Dienstleisters Kaseya sind derzeit das Ziel von großflächigen Angriffen mit Erpressungstrojanern. Laut ESET Analysen schlugen die Hacker in mindestens 17 Ländern zu, darunter Deutschland, USA, Großbritannien und Kanada. Die Ransomware wurde gezielt über die IT-Management-Software des Dienstleisters verbreitet. Diese wird häufig in Umgebungen von Managed Service Providern (MSP) eingesetzt. 

Die Sicherheitsforscher von ESET beobachten diese Ransomware, die weithin der REvil-Gang zugeschrieben wird, deren Malware von ESET-Sicherheitsprodukten als Sodinokibi erkannt wird. Die vorläufige Analyse unterstützt diese Zuschreibung.

ESET fügte die Erkennung dieser Ransomware-Variante als Trojaner Win32/Filecoder.Sodinokibi.N am 2. Juli um 15:22 Uhr (EDT; UTC-04:00) hinzu. Diese Erkennung umfasst sowohl den Hauptteil der Ransomware als auch die DLLs, die sie als Sideloads mit sich bringt. Die ESET-Telemetrie zeigt, dass die meisten Meldungen aus Großbritannien, Südafrika, Kanada, Deutschland, den Vereinigten Staaten und Kolumbien stammen.

„Bisher konnten wir Ransomware-Angriffe in mindestens 17 Ländern feststellen. Auch Unternehmen in Deutschland sind betroffen“, sagt Thomas Uhlemann, ESET Security Specialist. „Wir empfehlen Unternehmen, die die IT-Management-Software von Kaseya einsetzen, potenziell betroffene VSA-Server herunterzufahren. Sollten diese befallen sein, kappt die Ransomware die administrativen Zugänge und verschlüsselt die Daten. Das Vorgehen der Hacker ähnelt dem beim SolarWinds-Vorfall, jedoch haben es die Angreifer im aktuellen Fall eher auf finanzielle Gewinne abgesehen.“

Was sollten betroffene Unternehmen tun?

Der IT-Dienstleister Kaseya hat seine Kunden bereits kontaktiert und empfohlen, die potenziell betroffenen Server herunterzufahren. Denn sobald diese befallen sind, schaltet die Ransomware den administrativen Zugriff ab und beginnt mit der Verschlüsselung von Daten. Sobald der Verschlüsselungsprozess abgeschlossen ist, zeigt der Desktop-Hintergrund des Systems die Lösegeldforderung. ESET Kunden und Partner sind vor der Ransomware geschützt.