Kunden des IT-Dienstleisters Kaseya sind derzeit das Ziel von großflächigen Angriffen mit Erpressungstrojanern. Laut ESET Analysen schlugen die Hacker in mindestens 17 Ländern zu, darunter Deutschland, USA, Großbritannien und Kanada. Die Ransomware wurde gezielt über die IT-Management-Software des Dienstleisters verbreitet. Diese wird häufig in Umgebungen von Managed Service Providern (MSP) eingesetzt.
Die Sicherheitsforscher von ESET beobachten diese Ransomware, die weithin der REvil-Gang zugeschrieben wird, deren Malware von ESET-Sicherheitsprodukten als Sodinokibi erkannt wird. Die vorläufige Analyse unterstützt diese Zuschreibung.
ESET fügte die Erkennung dieser Ransomware-Variante als Trojaner Win32/Filecoder.Sodinokibi.N am 2. Juli um 15:22 Uhr (EDT; UTC-04:00) hinzu. Diese Erkennung umfasst sowohl den Hauptteil der Ransomware als auch die DLLs, die sie als Sideloads mit sich bringt. Die ESET-Telemetrie zeigt, dass die meisten Meldungen aus Großbritannien, Südafrika, Kanada, Deutschland, den Vereinigten Staaten und Kolumbien stammen.
„Bisher konnten wir Ransomware-Angriffe in mindestens 17 Ländern feststellen. Auch Unternehmen in Deutschland sind betroffen“, sagt Thomas Uhlemann, ESET Security Specialist. „Wir empfehlen Unternehmen, die die IT-Management-Software von Kaseya einsetzen, potenziell betroffene VSA-Server herunterzufahren. Sollten diese befallen sein, kappt die Ransomware die administrativen Zugänge und verschlüsselt die Daten. Das Vorgehen der Hacker ähnelt dem beim SolarWinds-Vorfall, jedoch haben es die Angreifer im aktuellen Fall eher auf finanzielle Gewinne abgesehen.“
Was sollten betroffene Unternehmen tun?
Der IT-Dienstleister Kaseya hat seine Kunden bereits kontaktiert und empfohlen, die potenziell betroffenen Server herunterzufahren. Denn sobald diese befallen sind, schaltet die Ransomware den administrativen Zugriff ab und beginnt mit der Verschlüsselung von Daten. Sobald der Verschlüsselungsprozess abgeschlossen ist, zeigt der Desktop-Hintergrund des Systems die Lösegeldforderung. ESET Kunden und Partner sind vor der Ransomware geschützt.
Copilot wird stärker in Microsoft 365 integriert. Neue Funktionen stehen unter anderem für Excel, Outlook,…
Schwachstelle weist laut Tenable auf schwerwiegende Sicherheitslücke in Google Cloud Diensten hin, insbesondere App Engine,…
Die neue Version kommt mit einem Supportzeitraum von fünf Jahren. Währenddessen erhält Office LTSC 2024…
Sie führen unter Umständen zur Preisgabe vertraulicher Informationen oder gar zu einem Systemabsturz. Apples KI-Dienste…
Das Projekt liegt wahrscheinlich für rund zwei Jahre auf Eis. Aus der Fertigungssparte Intel Foundry…
Der Sicherheitscheck entzieht unsicheren Websites automatisch alle Berechtigungen. Zudem können Nutzer in Chrome künftig Websites…