Neuer Angriffsweg
19.02.2019, 18:35 Uhr
Ransomware via MSP verteilt
Hacker, die Ransomware-Attacken ausführen, haben eine neue Zielscheibe. Sie greifen Managed Service Provider an mit dem Ziel, deren Kunden zu infizieren.
Cyberkriminelle, die möglichst viele Opfer mit Ransomware verseuchen wollen, haben einen neuen Infektionsweg ausfindig gemacht. Sie missbrauchen Managed Service Provider (MSP), um ihre Schadprogramme bei deren Kunden zu installieren.
Auf Reddit ist von ersten Opfern die Rede. In dem Post wird beschrieben, dass es einen Angriff auf einen ungenannten MSP gegeben habe, der zur Folge hatte, dass ein Grossteil der Kundensysteme verschlüsselt wurden und die Opfer sich Lösegeldforderungen gegenüber sahen. Offensichtlich wird die Ransomware GandCrab verwendet. Diese treibt auch in der Schweiz vermehrt ihr Unwesen, wie Computerworld vor Kurzem berichtete.
Schwachstelle in MSP-Verwaltungstools
Um GandCrab zu verbreiten, wird gemäss einem LinkedIn-Post des IT-Sicherheitsberaters HuntressLabs eine Schwachstelle in der Verbindung zweier von MSP oft genutzten Verwaltungstools missbraucht. Konkret handelt es sich um das Plug-in ManagedITSync, mit dem die beiden Werkzeuge ConnectWise und Kaseya verknüpft werden können. Über die Schwachstelle sei es einem Angreifer möglich, in Kaseya diverse Befehle auszuführen. Unter anderem habe man so Administratorpasswörter der verwalteten Systeme zurücksetzen können.
Die Vorgehensweise der Hacker ist in diesem Fall besonders fies: Denn die Aufgabe von MSP wäre es ja als IT-Dienstleiter, die Informatik ihrer Kunden zu betreuen sowie vor Angriffen zu schützen, und nicht selbst als Infektionsweg zu dienen. Aus Sicht der Cyberkriminellen ist der Weg über MSP natürlich äusserst lukrativ: Gelingt es ihnen so doch, durch einen Angriff gleich mehrere Opfer zu erreichen.