Der Vorfall
Am 2. Juli 2021, direkt vor dem US-Unabhängigkeitstag, schlug die Ransomware-Gruppe REvil (auch Sodinokibi genannt) zu. Sie hatten eine bis dahin unbekannte Schwachstelle (Zero-Day) in Kaseya VSA entdeckt – einer Software, die von Managed Service Providern (MSPs) eingesetzt wird, um die IT-Systeme ihrer Kunden aus der Ferne zu verwalten und zu warten.
Der Zeitpunkt war bewusst gewählt: An einem langen Feiertagswochenende waren viele IT-Teams unterbesetzt. Über die kompromittierten Kaseya-VSA-Server der MSPs erreichte REvil in kürzester Zeit rund 1.500 Unternehmen in mindestens 17 Ländern. Darunter befand sich die schwedische Supermarktkette Coop, die 800 Filialen schließen musste, weil ihre Kassensysteme verschlüsselt wurden. Auch Apotheken, Zahnarztpraxen, Buchhaltungsbüros und kleine Fertigungsbetriebe waren betroffen.
REvil forderte zunächst individuelle Lösegelder von den einzelnen Opfern – zwischen 45.000 und 5 Millionen US-Dollar. Dann machten sie ein „Pauschalangebot": 70 Millionen US-Dollar in Bitcoin für einen universellen Entschlüsselungsschlüssel, der alle Opfer auf einmal befreien würde. Es war die höchste jemals öffentlich bekannte Ransomware-Forderung.
Am 13. Juli verschwand REvil plötzlich aus dem Internet. Am 22. Juli erhielt Kaseya einen universellen Entschlüsselungsschlüssel – die genaue Herkunft blieb zunächst unklar. Das FBI bestätigte später, dass es den Schlüssel beschafft hatte.
Wie der Angriff funktionierte
Der Kaseya-Angriff war ein Paradebeispiel für einen kaskadenartigen Supply-Chain-Angriff:
Stufe 1 – Ausnutzung der Zero-Day-Schwachstelle: REvil entdeckte eine Authentifizierungslücke (CVE-2021-30116) in den on-premise Kaseya-VSA-Servern. Diese Schwachstelle ermöglichte es, ohne gültige Anmeldedaten auf die Server zuzugreifen und beliebigen Code auszuführen.
Stufe 2 – Übernahme der VSA-Server: Die Angreifer erlangten administrative Kontrolle über die VSA-Server der MSPs. Da diese Server per Design dafür gemacht waren, Software auf den Computern der Endkunden zu installieren und zu verwalten, hatten die Angreifer damit automatisch Zugriff auf Tausende von Endgeräten.
Stufe 3 – Deaktivierung der Sicherheitsmechanismen: Über die VSA-Agenten auf den Endgeräten führten die Angreifer zunächst Befehle aus, die den Windows Defender und andere Sicherheitssoftware deaktivierten. Sie nutzten dazu PowerShell-Skripte, die über den legitimen VSA-Verwaltungskanal ausgeliefert wurden.
Stufe 4 – Verteilung der Ransomware: Die Angreifer platzierten eine manipulierte DLL-Datei (agent.crt) auf den Endgeräten, die als vermeintliches Kaseya-Update getarnt war. Ein weiteres Skript extrahierte die eigentliche Ransomware-Payload und führte sie mit Hilfe einer legitimen, aber veralteten Version von Windows Defender (MsMpEng.exe) aus – eine Technik namens DLL-Sideloading.
Stufe 5 – Verschlüsselung: Die REvil-Ransomware verschlüsselte die Dateien auf den betroffenen Systemen mit einer Kombination aus AES- und RSA-Verschlüsselung. Volumenschattenkopien wurden gelöscht, um eine Wiederherstellung zu verhindern. Auf jedem System wurde eine Lösegeldforderung hinterlegt.
Die gesamte Kette – vom Eindringen in den VSA-Server bis zur vollständigen Verschlüsselung der Endgeräte – dauerte nur wenige Stunden.
Warum Virenscanner versagten
Der Kaseya-Angriff überlistete Virenscanner auf mehreren Ebenen gleichzeitig:
Erstens kam der Angriff über einen vertrauenswürdigen Kanal. Kaseya VSA war die offizielle Verwaltungssoftware – jede Aktion, die über den VSA-Agenten ausgeführt wurde, galt als legitim. Sicherheitstools waren in vielen Fällen so konfiguriert, dass sie dem VSA-Ordner und seinen Prozessen vertrauten. Manche Kunden hatten den Kaseya-Ordner sogar explizit von der Virenscanner-Überwachung ausgenommen, wie Kaseya selbst empfohlen hatte.
Zweitens deaktivierten die Angreifer als erste Maßnahme den Windows Defender und andere Schutzprogramme. Der VSA-Agent hatte die nötigen Berechtigungen dafür, weil er für die Systemverwaltung gedacht war.
Drittens nutzten die Angreifer DLL-Sideloading über eine legitime Microsoft-Binary (MsMpEng.exe). Da eine signierte Microsoft-Datei die Ransomware-DLL lud, erkannten verhaltensbasierte Scanner den Vorgang nicht als verdächtig.
Die REvil-Variante selbst war zudem eine frische, angepasste Version, für die zum Zeitpunkt des Angriffs keine Signaturen existierten.
So hätte Deep Freeze geschützt
Auf Arbeitsplatzrechnern mit Deep Freeze wäre der Kaseya-Angriff trotz seiner Raffinesse gescheitert:
Die Ransomware-Payload überlebt keinen Neustart: Selbst wenn die REvil-Ransomware über den VSA-Agenten auf das System gelangt wäre – nach einem Neustart wäre die eingefrorene Systempartition in ihren Originalzustand zurückgekehrt. Alle verschlüsselten Dateien, alle manipulierten Systemdateien, die gesamte Ransomware wären spurlos verschwunden.
Deaktivierte Schutzprogramme werden wiederhergestellt: Die Angreifer hatten den Windows Defender per Skript abgeschaltet. Auf einem eingefrorenen System wäre diese Änderung beim nächsten Reboot rückgängig gemacht worden. Der Defender wäre wieder aktiv, als wäre nichts geschehen.
Die DLL-Sideloading-Technik wird nutzlos: Die manipulierte DLL und die veraltete MsMpEng.exe, die die Angreifer auf die Systeme kopierten, wären nach dem Neustart nicht mehr vorhanden gewesen. Ohne diese Dateien keine Ausführung, ohne Ausführung keine Verschlüsselung.
Kein Lösegeld nötig: 1.500 Unternehmen standen vor der Entscheidung: zahlen oder Daten verlieren. Mit Deep Freeze hätte ein einfacher Neustart genügt. Keine 70 Millionen Dollar, keine Verhandlungen mit Kriminellen, kein Datenverlust auf den Arbeitsplätzen.
Wichtig: Arbeitsdaten, die auf Netzlaufwerken oder in der Cloud gespeichert werden, sind von der Deep-Freeze-Konfiguration unabhängig zu schützen. Aber die Arbeitsplatzrechner selbst – und damit der Großteil der betroffenen Coop-Kassensysteme, Praxiscomputer und Bürorechner – wären nach einem Reboot sofort wieder einsatzbereit gewesen.
Die Lehre
- Fernwartungssoftware ist ein Multiplikator – für Effizienz, aber auch für Angriffe. Was Tausende Systeme gleichzeitig verwalten kann, kann sie auch gleichzeitig kompromittieren. Deep Freeze stellt sicher, dass diese Kompromittierung nicht von Dauer ist.
- Angreifer deaktivieren Schutzprogramme als erstes. Wenn Dein Schutzkonzept ausschließlich auf Software basiert, die sich abschalten lässt, hast Du keinen Schutz. Eine eingefrorene Systempartition lässt sich nicht per PowerShell-Skript aushebeln.
- Feiertagswochenenden sind bevorzugte Angriffszeitpunkte. Wenn Dein IT-Team nicht erreichbar ist, muss das Schutzsystem autonom funktionieren. Deep Freeze braucht keinen Administrator, der eingreift – ein Neustart genügt.
- Die höchste Lösegeldforderung der Geschichte hätte mit einer simplen Reboot-Strategie beantwortet werden können. 70 Millionen Dollar gegen einen Neustart – die Rechnung ist eindeutig.
- Vertrauen in Software-Lieferketten ist keine Sicherheitsstrategie. Wenn selbst die Verwaltungssoftware Deines IT-Dienstleisters kompromittiert werden kann, brauchst Du eine Schutzschicht, die unabhängig von Software-Vertrauen funktioniert.