Kaseya Ransomware-Opfer meldet sich zu Wort: Rettung vom Abgrund durch MSP-Community
Robert Cioffi, Mitbegründer von Progressive Computing, berichtet von der freiwilligen Hilfe anderer MSPs bei der Wiederherstellung seiner Kundenendpunkte und Server innerhalb von 17 Tagen, nachdem Cyberkriminelle während des Kaseya-Angriffs im Juli 2021 alle 80 Kunden seines Unternehmens erpresst hatten.
Für 10 Minuten war Robert Cioffi in kompletter Schockstarre.
Cioffis Unternehmen, Progressive Computing, war längst nicht der einzige MSP, den der Ransomware-Angriff auf Kaseya 2021 getroffen hatte, denn die Fernüberwachungs- und Verwaltungstools sind weit verbreitet. Aber der in Yonkers, N.Y., ansässigen MSP hatte es besonders stark erwischt: Osteuropäische Cyberkriminelle hatten jeden einzelnen seiner 80 Kunden verschlüsselt und forderten Lösegeld.
Während Cioffi versuchte zu entscheiden, was er nun tun soll, wurde auf seinem Desktop ein Symbol nach dem anderen weiß. Sein Rechner war nun auch verschlüsselt. Er konnte überhaupt nichts tun.
Wie sich das anfühlte - ersticken, ertrinken, oder beides gleichzeitig - erzählte Cioffi am Dienstag während einer Keynote auf der XChange Security 2023 in Dallas, eine Veranstaltung der CRN-Muttergesellschaft The Channel Company.
Während er über 10 Minuten lang wie erstarrt vor seinem PC saß, dachte Cioffi über die Bewertung seines Unternehmens und die möglichen Auswirkungen auf seine Mitarbeiter nach. Er dachte an seine Familie und daran, ob er es sich noch leisten könnte, die Studiengebühren für seine Tochter zahlen. Er dachte an seine Exit-Strategie und ob er nun überhaupt noch eine habe, nachdem drei Jahrzehnte in das 1993 von ihm mitgegründete Unternehmen gesteckt hatte.
"Ich starrte in den Abgrund", so Cioffi.
Schließlich schoß ihm ein anderer Gedanke durch den Kopf: Wie können wir das ungeschehen machen?
Cioffi versammelte die Mitarbeiter in einem Konferenzraum oder ließ sie sich einwählen und machte dann die schlichte Ansage: "Als Team werden wir diesen Schlamassel gemeinsam beseitigen."
"Ich wußte zwar nicht wie, aber ich wußte dass wir es gemeinsam schaffen können", so Cioffi. Wie sich herausstellte, gehörten zu diesem "gemeinsam" allerdings viel mehr als nur die Mitarbeiter von Progressive Computing.
Ein Freund aus einer MSP-Peer-Group war der erste, der Hilfe schickte, in Form von sechs Technikern, die er aus den ganzen USA einfliegen liess. Weitere MSPs folgten, und schließlich halfen insgesamt 27 Firmen mit mehr als 50 Personen, und das kostenlos.
Innerhalb von 17 Kalendertagen nach dem Kaseya Ransomware-Angriff waren 95 Prozent der 2.500 Endpunkte, für die Progressive Computing verantwortlich war - einschließlich aller 250 Server - wiederhergestellt.
Die Firma überlebte. "Wir verloren 15 Prozent unseres Umsatzes, aber das haben wir inzwischen wieder aufgeholt", so Cioffi gegenüber CRN.
"Wir sind auf jeden Fall wieder da, wo wir waren, und steigen weiter nach oben."
Schmerzliche Mahnung, dass es Jeden treffen kann
Jeder MSP-Manager, der Cioffis Ausführungen am Dienstag zuhörte, "hat diese Befürchtung", meinte Reagan Roney, Chef und Leiter der Geschäftsentwicklung für Managed Services bei Solvere One IT.
Angesichts der aktuellen Cyberbedrohungslage stehen MSPs und MSSPs unter "eine Menge Druck", so Roney gegenüber CRN.
"Man erwartet von uns, dass wir alles haben und können, dass wir zu 100 Prozent sicher sind, dass wir immer hundertprozentig wissen, was wir tun. Tatsächlich aber ist das nicht so. Wir wissen eine Menge. Wir tun alles, was wir können, aber wir können nun einmal nicht alles kontrollieren. Aber unsere Kunden erwarten das."
"Die Horrorgeschichte, die Cioffi durchgemacht hat, wie er sich persönlich fühlte, wie sich das alles auf seine Familie, seinen Gemütszustand und sein Geschäft ausgewirkt hat, das war wirklich erschütternd", sagte Roney. "Zweifellos wollte ihn jeder Zuhörer einfach nur umarmen und ihm sagen: 'Danke, dass Sie Ihre Geschichte erzählt haben'."
Auch Tanaz Choudhury, die Präsidentin von TanChes Global Management, war von Cioffis sehr bewegt. Sie stimmte zu, dass diese Art von Vorfall "buchstäblich jedem in diesem Raum passieren könnte".
"Die Frage ist, was wir tun werden, um dieses Risiko zu mildern. Und wie sieht der unmittelbare Reaktionsplan aus, falls man, was der Himmel verhüten möge, doch angegriffen wird?", so Choudhury gegenüber CRN.
MSPs sollten sich bemühen, nicht nur einen typischen Reaktionsplan zu haben, sondern auch zu bewerten, welche Auswirkungen dieser Plan auf jeden einzelnen Kunden haben könnte. Jeder Kunde kann, aufgrund einer Vielzahl von Faktoren unterschiedlich betroffen sein, und daher ist es wichtig, im Voraus zu wissen, wie sich die Dinge entwickeln könnten, führte Choudhury aus.
"Es ist wirklich wichtig, einen Reaktionsplan zu haben, aber man muss auch wissen, welche Auswirkungen dieser Reaktionsplan hat", sagte sie. "Ohne Plan wirft man einfach alles gegen die Wand und schaut, was hängen bleibt."
Das fehlende ElementFür Cioffi hat die Erfahrung des Angriffs vom Juli 2021 die Erkenntnis gebracht, dass die die Antwort auf die immensen Cyberbedrohungen, mit denen MSPs jeden Tag konfrontiert sind, die Community selbst ist.
Zu diesem Zweck hat Cioffi eine Initiative ins Leben gerufen, die MSPs, die einen Cybervorfall erlebt haben, kostenloses Coaching durch Freiwillige anbietet, die so etwas wie er schon durchlebt erlebt haben. In Zukunft hofft Cioffi, die Initiative auch um die Entsendung technischer Experten zu erweitern, die MSPs bei größeren Angriffen helfen.
Das Konzept dafür wirft noch einige Haftungsfragen auf, so Cioffi gegenüber CRN, aber "wir arbeiten diese Dinge aus. Und wir sind alle sehr zuversichtlich, dass wir das hinbekommen."
Letztendlich lasse sich das "fehlende Element" in MSP-Cybersicherheits-Stacks von heute in einem Wort zusammenfassen: Community.
"Das ist die einzige Möglichkeit, wie wir Cyberkriminelle wirklich bekämpfen können", so Cioffi in seiner Keynote. "Wenn wir uns zusammenschließen, können wir die Feinde besiegen."