Eine deutliche Erinnerung an den SolarWinds-Angriff: Angreifer haben es erneut auf einen vertrauenswürdigen Software-Anbieter abgesehen, dieses Mal auf Kaseya, um Hunderte von Unternehmen zu kompromittieren und Ransomware zu installieren. Es ist bekannt, dass über 1’500 Unternehmen betroffen sind, die deren On-Premises-Softwareversion verwenden.
Die Angreifer hatten es auf eine Sicherheitslücke in Kaseya VSA abgesehen, einer Patch- und Schwachstellenmanagement-Software. Das Produkt erfordert Administratorrechte auf den Endsystemen, was den Angreifern ein leichtes Ziel bot, Ransomware auf Tausende von Systemen zu bringen.
Die Kompromittierung von Kaseya VSA zur Verbreitung von Ransomware ist eine der vielen Methoden, mit denen Angreifer Tausende von Angriffen gestartet haben. EDR- und EPP-Produkte schützen zwar vor vielen derartigen Aktivitäten, doch die schiere Anzahl der Angriffe zeigt, dass Unternehmen eine Lösung benötigen, die über netzwerkinterne oder Stufe-2-Erkennungskontrollen verfügt, die bei Versuchen des unberechtigten Zugriffs, des Missbrauchs von Anmeldeinformationen und der seitlichen Bewegung von Angreifern Alarm schlagen.
Die DataCloak-Funktion von Attivo Networks Endpoint Detection Net (EDN) schützt Kunden vor dieser speziellen Ransomware-Attacke und anderen Ransomware-Angriffen, die Privilegieneskalation und seitliche Bewegung nutzen. Die DataCloak-Funktion nutzt eine Verschleierungstechnologie, um den Zugriff auf lokale Dateien, Ordner, Wechselspeicher und gemappte Netzwerk- oder Cloud-Freigaben zu verbergen und zu verweigern. Die Funktion verhindert, dass nicht autorisierte Benutzer oder Prozesse diese geschützten Objekte aufzählen oder darauf zugreifen. Indem Angreifern die Möglichkeit verwehrt wird, kritische Daten zu sehen oder auszunutzen, können Unternehmen ihre Entdeckung unterbrechen und den Schaden von Ransomware-Angriffen wie dem Kaseya Kompromiss begrenzen.
Unternehmen sollten für ihre Cybersecurity-Strategie eine Haltung des «angenommenen Einbruchs» einnehmen und Sicherheitskontrollen einrichten, um zu erkennen, wenn Bedrohungsakteure bestehende Verteidigungsmassnahmen umgehen, um in das Netzwerk einzudringen.