REvil in Aktion: Ransomware-Angriffe nehmen zu
Aktuellen Berichten zufolge wird jede Woche eine neue Organisation mit Ransomware angegriffen – im Jahr 2021 erbeuteten lediglich sechs Erpresserbanden schon über 45 Millionen US-Dollar. Betroffen waren neben Behörden, Krankenhäusern und Universitäten multinationale Konzerne – mitunter auch Acer sowie Quanta. Wir berichten im heutigen Beitrag über diese Ransomware-Angriffe, wobei wir ein besonderes Augenmerk auf REvil alias Sodin bzw. Sodinokibi legen. Weiter erhalten Sie Tipps, mit denen Sie sich vor Ransomware-Angriffen schützen können.
REvil hat es auf Acer abgesehen
Über die Ransomware-Familie REvil alias Sodinokibi oder kurz Sodin berichteten wir erstmals im Jahr 2019. Dass diese Ransomware bis heute nicht an Gefährlichkeit eingebüßt hat, zeigt ein Vorfall bei Acer, der im März dieses Jahres entdeckt wurde:
Der taiwanesische Hardware-Hersteller Acer wurde Mitte März 2021 angegriffen: Es ist sehr wahrscheinlich, dass die ausführende Hacker-Gruppe die Exchange-Server-Lücke ausnutzen konnte, um mit REvil eine der gefährlichsten Ransomware-Familien ins Netzwerk zu schleusen. Offenbar wurden nicht nur Daten verschlüsselt, sondern auch Dokumente erbeutet.
Hackergruppe lockt mit Rabatten
Die Cyberkriminellen verlangten Berichten des Nachrichtenportals Bleepingcomputer zufolge Lösegeld in Höhe von 50 Millionen US-Dollar in Kryptowährungen. Würde die Summe unmittelbar fließen, so hätten die Kriminellen wohl 20 Prozent Rabatt gewährt. Dem Konzern wurde jedoch auch in die andere Richtung gedroht: Sollte Acer der Zahlung der 50 Millionen US-Dollar bis 28.03. nicht nachkommen, so würden die Hacker anschließend mit 100 Millionen US-Dollar das Doppelte verlangen. Acer selbst schwieg sich gegenüber Bleepingcomputer aus. Der Vorfall wurde also nicht direkt bestätigt, jedoch sprachen Acer-Vertreter von laufenden Untersuchungen, über die man aus Sicherheitsgründen nicht detailliert sprechen könne.
In einer per E-Mail versandten Erklärung, aus der ZDNet.de zitiert, hieß es von einem Acer-Sprecher: „Acer überwacht seine IT-Systeme routinemäßig, und die meisten Cyberangriffe werden gut abgewehrt. Unternehmen wie wir sind ständig Angriffen ausgesetzt, und wir haben die in letzter Zeit beobachteten Anomalien an die zuständigen Strafverfolgungs- und Datenschutzbehörden in mehreren Ländern gemeldet.“ Weiter hieß es: „Acer hat die Anomalien ab März entdeckt und sofort Sicherheits- und Vorsichtsmaßnahmen eingeleitet. […] Es gibt eine laufende Untersuchung und aus Sicherheitsgründen können wir uns nicht zu Details äußern.“
Auch bei Apple-Fertiger Quanta schlägt REvil zu
Wie die Finanznachrichtenagentur Bloomberg berichtet, wurde im April 2021 der Auftragsfertiger Quanta Opfer eines Ransomware-Angriffs. Wieder soll die REvil-Gruppe dahinterstecken. Es wäre zu „Cyberangriffen auf eine geringe Zahl an Quanta-Servern“ gekommen, berichtet Bloomberg. Die Attacke wurde der zuständigen Behörde gemeldet; nennenswerte Auswirkungen auf den Geschäftsbetrieb habe es laut Quanta nicht gegeben.
Die REvil-Gruppe hingegen brüstete sich damit, die Daten im Intranet von Quanta verschlüsselt zu haben. Für die Entschlüsselung der Daten verlangte die REvil-Cybergang mindestens 50 Millionen US-Dollar – also dieselbe Summe, die schon Acer zahlen sollte. Quanta war nicht bereit zu zahlen, sodass die Cyberkriminellen um die REvil-Ransomware mit dem schrittweisen Veröffentlichen der erbeuteten Informationen drohten. Darunter wären auch Blueprints von Apples Hardware.
Da Quanta nicht zahlungswillig war, wandten sich die Kriminellen direkt an Apple: Der Konzern könne die Dokumente wahlweise zurückkaufen oder er müsse mit dem Veröffentlichen der Informationen rechnen. Die Höhe der Summe, die für den „Rückkauf“ gefordert wurde, blieb unklar.
Tatsächlich wurden im Darknet laut dem Bloomberg-Bericht diverse Schema-Zeichnungen des aktuellen MacBooks veröffentlicht, einschließlich spezifischer Details über das Gerät. Nicht bekannt ist jedoch, ob diese Blueprints unveröffentlichte Apple-Hardware zeigen. Schließlich ist Apple mitunter auch dafür berühmt, Produktentwicklungen sehr effektiv geheim halten zu können.
Quanta ist nicht nur für Apple aktiv, sondern fertigt auch für weitere IT-Konzerne, darunter etwa Dell, HP, Microsoft oder Lenovo. Die REvil-Gruppe erklärte, dass man mit „bekannten Marken“ verhandeln würde – auch hier über den Rückkauf von vertraulichen Skizzen.
REvil fordert Rekord-Lösegeld von 70 Millionen US-Dollar
Am Wochenende vom 03. und 04.07.2021 ging in schwedischen Supermärkten nichts mehr: Aufgrund eines Hackerangriffs auf die US-Firma Kaseya musste die schwedische Supermarktkette Coop ihre Türen schließen, da die Kassensysteme nicht mehr funktionierten. Am Freitagnachmittag erfolgte der erpresserische Zugriff. Die Hackergruppe REvil erklärt in ihrem hauseigenen Blog, dafür verantwortlich zu sein. Nun fordern die Cyberkriminellen ein Lösegeld, das über die Forderungen an Acer und Quanta weit hinausreicht: 70 Millionen US-Dollar wollen die Hacker erpressen.
Der Hackerangriff war groß angelegt – nicht nur Coop gehört zu den Opfern. Offenbar gelang es REvil, das Desktop-Management-Tool VSA aus dem Hause Kaseya zu kapern und ein schädliches Update aufzuspielen. In der Folge sind nun Tausende Kunden von Kaseya betroffen.
Dazu gehören wohl auch deutsche Unternehmen: Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) erklärt, seien auch IT-Dienstleister und weitere Unternehmen aus Deutschland betroffen. Mehrere Tausend Geräte seien verschlüsselt worden. Arne Schönbohm, BSI-Präsident, dazu: „Der Vorfall zeigt, wie intensiv die globale Vernetzung in der Digitalisierung voranschreitet und welche Abhängigkeiten dabei entstehen. Bei dem aktuellen Angriff wurde Ransomware über jedes Glied einer Software-Lieferkette ausgerollt. Das zeigt deutlich: Lieferketten müssen auch unter dem Aspekt der IT-Sicherheit in den Fokus rücken. Ransomware ist derzeit als eine der größten Bedrohungen für die IT von Unternehmen und Organisationen einzuschätzen. Bei erfolgreichen Angriffen werden Dienstleistungen und Produktion häufig zum Stillstand gebracht. Die Schäden für die Betroffenen sind daher oftmals enorm.“
REvil nur eine von vielen: Ransomware auf dem Vormarsch
Einem Bericht des Sicherheitsspezialisten Kaspersky zufolge gehen Ransomware-Erpresser wie folgt vor: Zunächst wird die Finanzkraft von Organisationen und Unternehmen ermittelt. Bevor die Daten dann verschlüsselt werden, werden sie zudem gestohlen. So können die Kriminellen den Druck auf ihre Opfer erhöhen: Sind diese nicht bereit, das Lösegeld für die Entschlüsselung der Daten zu zahlen, wird mit dem Veröffentlichen der gestohlenen Informationen gedroht.
Kaspersky veröffentlicht dazu erschreckende Zahlen: Im Jahr 2016 trat eine Wende ein, denn binnen weniger Monate verdreifachten sich Ransomware-Angriffe auf Unternehmen. Im Januar 2016 verzeichnete man einen Vorfall alle zwei Minuten; im September 2016 bereits alle 40 Sekunden. Gezielte Kampagnen können seit 2019 beobachtet werden. Die Sicherheitsspezialisten von Kaspersky haben anhand ihrer Datengrundlagen ein Ranking der aktivsten Cybergangs erstellt, bei dem REvil auf dem dritten Platz landet. REvil-Opfer machen in der Gesamtstatistik 11 Prozent aus – die Dunkelziffer dürfte jedoch höher sein, da Vorfälle dieser Art nicht immer gemeldet werden. In rund 20 Branchen war die Malware bereits tätig, wobei die größte Opferzahl von REvil mit 30 Prozent im Bereich Entwicklung und Herstellung liegt.
REvil und andere Ransomware: So schützen Sie sich
Die schlechte Nachricht zuerst: Es gibt keinen 100-prozentigen Schutz vor Ransomware wie REvil. Es gibt aber – und das sind die guten Nachrichten – einige Kniffe und Tricks, mit denen Sie sich sehr effizient schützen:
- Awareness: Es ist das A und O der Sicherheit in Unternehmen und eine sehr alte Weisheit: Die Sicherheit der Technik kann immer nur so gut sein wie der Mensch, der sie nutzt. Ihre Mitarbeitenden müssen wissen, was Phishing ist oder dass keine Downloads von dubiosen Seiten stattfinden dürfen. Sie müssen wissen, wie man sichere Passwörter generiert oder dass man nicht auf verdächtige Links klickt. Mit regelmäßigen Awareness-Schulungen schaffen Sie eine starke Basis: Sie verringern einerseits das Risiko von Angriffen auf Ihre Organisation, da Ihre Mitarbeitenden die digitale Selbstverteidigung verstehen. Und zum anderen reduzieren Sie etwaige Schäden, falls es Angreifern doch gelingen sollte, in Ihr Netzwerk einzudringen.
- Patchen: Spielen Sie Patches zeitnah ein, um Angriffe über bekannte Sicherheitslücken zu verhindern. Wie im oben geschilderten Fall bei Acer: Höchstwahrscheinlich konnten die Cyberkriminellen durch die Exchange-Sicherheitslücken ins Netzwerk eindringen. Vermeiden Sie derartige Szenarien, indem Betriebssysteme und Applikationen – und zwar Server- und Client-Side-Software – zeitnah aktualisiert werden.
- Monitoring: Das Monitoring hilft dabei, die Sicherheit der hauseigenen Geräte im Auge zu behalten. Prüfen Sie auch regelmäßig, welche Ports geöffnet und via Internet erreichbar sind. Behalten Sie die Netzwerk-Infrastruktur im Auge. Ihre Beobachtungen können dazu führen, Anomalien frühzeitig wahrzunehmen.
- Backups: Sichern Sie Ihre Unternehmensdaten durch Backups. Durch solche Sicherheitskopien vermeiden oder verkürzen Sie etwaige Ausfallzeiten bei (Hardware-)Fehlfunktionen oder erfolgreichen Angriffen.
- Remote-Work: Setzen Sie auf sichere Verbindungen, suchen Sie sich die Anbieter jedoch sorgfältig aus, denn auch VPNs können anfällig sein. Neben einer Sicherheitssoftware, die auch Ransomware erkennen kann, gehören starke Passwörter sowie 2-Faktor-Authenthifizierung zu den Werkzeugen, die den Remote-Zugang absichern.
Gender-Disclaimer:
Zur besseren Lesbarkeit und zur Vermeidung von Gender-Sternchen verwenden wir das generische Maskulinum für Substantive und meinen damit alle natürlichen Personen unabhängig ihres Geschlechts.
Schreibe einen Kommentar