Kaseya-Ransomware-Angriffe – Sicherheitsteams rund um den Globus machen Überstunden

REvil soll derzeit eine der produktivsten Ransomware-Gruppen sein

[datensicherheit.de, 06.07.2021] Sicherheitsteams rund um den Globus machten seit dem 2. Juli 2021 Überstunden, als die Nachricht aufgetaucht sei, dass „REvil“ Ransomware-Angriffe auf den IT-Management-Softwarehersteller Kaseya VSA und seine Kunden gestartet habe – mittlerweile seien auch Betroffene in Zentraleuropa benannt worden. Wendi Whitmore, „Senior Vice President of Cyber Consulting and Threat Intelligence“ bei der „Unit 42“ von Palo Alto Networks, fasst in ihrer aktuellen Stellungnahme die gegenwärtigen Erkenntnisse zusammen. Sie berichtet: „Bislang hat ,Unit 42‘ von Palo Alto Networks in diesem Jahr auf mehr als ein Dutzend Fälle reagiert, in denen ,REvil‘ (auch bekannt als ,Sodinokibi‘) involviert war, was es zu einer der produktivsten Ransomware-Gruppen macht, die bekannt sind.“

Foto: Palo Alto Networks

Wendi Whitmore: Die Unit 42 von Palo Alto Networks hat 2021 bereits auf mehr als ein Dutzend solcher Ransomware-Fälle reagiert

Revil: Durchschnittliche Zahlung bei Ransomware-Vorfällen etwa 2,25 Millionen US-Dollar

Im Folgenden gibt Whitmore einige Erkenntnisse wieder, welche von den Ermittlern und Bedrohungsforschern der „Unit 42“ von Palo Alto Networks gesammelt worden seien:

• „Die durchschnittliche Zahlung, die ,Unit 42‘ in diesem Jahr bei ,REvil‘-Vorfällen beobachtet hat, betrug etwa 2,25 Millionen US-Dollar.“ Die größte bekannte Lösegeldforderung habe elf Millionen US-Dollar nach einem vielbeachteten Angriff auf das weltgrößte Fleischverpackungsunternehmen, welcher die Verarbeitungsanlagen lahmgelegt habe, betragen.
• Diese Gruppe fordere hohe Lösegelder, sei aber offen für Verhandlungen über niedrigere Zahlungen. „Nach dem Angriff auf Kaseya VSA am Freitag forderte sie 70 Millionen Dollar für ein Tool zur Entschlüsselung aller betroffenen Dateien. Am Montag reduzierte sie diese Forderung auf 50 Millionen Dollar.“ Wenn die Opfer jedoch nicht verhandeln oder zahlen, veröffentliche „REvil“ gestohlene Daten auf seiner „Happy Blog“ genannten Leak-Site.
• „Die Auswirkungen des Kaseya VSA-Angriffs, der einige Unternehmen unvorbereitet traf, weil er am Freitag um 16.00 Uhr ET gestartet wurde, also vor dem dreitägigen Feiertagswochenende in den USA, sind noch nicht bekannt.“ „REvil“ behaupte, über eine Million Systeme verschlüsselt zu haben.

REvil heute einer der bekanntesten Anbieter von Ransomware-as-a-Service

Während viele Menschen erst kürzlich von der Existenz von „REvil“ erfahren hätten, beobachteten die „Unit 42“-Bedrohungsforscher von Palo Alto Networks die mit dieser Gruppe verbundenen Akteure bereits seit drei Jahren. „Die Forscher stießen erstmals 2018 auf sie, als mit einer Gruppe namens ,GandCrab‘ beschäftigt waren, die nicht an Ransomware beteiligt war. Diese konzentrierte sich hauptsächlich auf Malvertising und Exploit-Kits, d.h. bösartige Werbung und Malware-Tools, die Hacker verwenden, um Opfer unwissentlich durch Drive-by-Downloads zu infizieren, wenn sie eine bösartige Website besuchen.“
Diese Gruppe habe sich später in „REvil“ umgewamdelt, sei gewachsen und habe sich den Ruf erworben, große Datenmengen zu stehlen und Lösegelder in Millionenhöhe zu fordern. „Heute ist sie einer der bekanntesten Anbieter von Ransomware-as-a-Service (RaaS).“ „REvil“ biete Kunden (sogenannten Affiliates) anpassbare Tools zur Ver- und Entschlüsselung, Angriffsinfrastruktur und Dienste für die Verhandlungskommunikation. Für diese Dienste kassiert „REvil“ einen Prozentsatz der Lösegeldzahlungen.

Ransomware-Betreiber Revil verfolgt zwei Ansätze, um Opfer zur Zahlung zu bewegen

„Wie die meisten Ransomware-Betreiber verwendet ,REvil‘ zwei Ansätze, um die Opfer zur Zahlung zu bewegen“, erläutert Whitmore:

1. Die Gruppe verschlüssele Daten, so dass Unternehmen nicht mehr auf Informationen zugreifen, kritische Computersysteme nicht mehr verwenden oder von Backups wiederherstellen könnten.
2. 2. Sie stehle auch Daten und drohe damit, sie auf ihrer Leak-Site zu veröffentlichen (eine Taktik, welche als sogenannte Doppelte Erpressung bekannt sei).

Die „Unit 42“ von Palo Alto Networks 42 verfolge diesen Angriff genau. Deren Forscher hätten einen Bedrohungsbericht in ihrem Blog veröffentlicht und würden in den kommenden Tagen weitere Informationen bereitstellen.

Weitere Informationen zum Thema:

paloalto NETWORKS, UNIT 42, 03.07.2021
Threat Brief: Kaseya VSA Ransomware Attacks

datensicherheit.de, 06.07.2021
Kaseya-Vorfall: Womöglich Tausende Unternehmen ins Visier Cyber-Krimineller geraten / Auch deutsche Unternehmen von Ransomware betroffen, welche auf Schwachstellen in der Kaseya-Software abzielt

datensicherheit.de, 05.07.2021
Bitkom-Stellungnahme zum Ransomware-Angriff via Kaseya / Auf einen Schlag Hunderte Unternehmen mit Ransomware ins Visier genommen

datensicherheit.de, 05.07.2021
Ransomware-Angriff: Folgen weltweit zu spüren / Zahlreiche IT-Dienstleister, deren Kunden und weitere Unternehmen Opfer von Ransomware geworden