Aktuelles, Branche - geschrieben von dp am Dienstag, Juli 6, 2021 19:03 - noch keine Kommentare
Kaseya-Ransomware-Angriffe – Sicherheitsteams rund um den Globus machen Überstunden
REvil soll derzeit eine der produktivsten Ransomware-Gruppen sein
[datensicherheit.de, 06.07.2021] Sicherheitsteams rund um den Globus machten seit dem 2. Juli 2021 Überstunden, als die Nachricht aufgetaucht sei, dass „REvil“ Ransomware-Angriffe auf den IT-Management-Softwarehersteller Kaseya VSA und seine Kunden gestartet habe – mittlerweile seien auch Betroffene in Zentraleuropa benannt worden. Wendi Whitmore, „Senior Vice President of Cyber Consulting and Threat Intelligence“ bei der „Unit 42“ von Palo Alto Networks, fasst in ihrer aktuellen Stellungnahme die gegenwärtigen Erkenntnisse zusammen. Sie berichtet: „Bislang hat ,Unit 42‘ von Palo Alto Networks in diesem Jahr auf mehr als ein Dutzend Fälle reagiert, in denen ,REvil‘ (auch bekannt als ,Sodinokibi‘) involviert war, was es zu einer der produktivsten Ransomware-Gruppen macht, die bekannt sind.“
Wendi Whitmore: Die Unit 42 von Palo Alto Networks hat 2021 bereits auf mehr als ein Dutzend solcher Ransomware-Fälle reagiert
Revil: Durchschnittliche Zahlung bei Ransomware-Vorfällen etwa 2,25 Millionen US-Dollar
Im Folgenden gibt Whitmore einige Erkenntnisse wieder, welche von den Ermittlern und Bedrohungsforschern der „Unit 42“ von Palo Alto Networks gesammelt worden seien:
- „Die durchschnittliche Zahlung, die ,Unit 42‘ in diesem Jahr bei ,REvil‘-Vorfällen beobachtet hat, betrug etwa 2,25 Millionen US-Dollar.“ Die größte bekannte Lösegeldforderung habe elf Millionen US-Dollar nach einem vielbeachteten Angriff auf das weltgrößte Fleischverpackungsunternehmen, welcher die Verarbeitungsanlagen lahmgelegt habe, betragen.
- Diese Gruppe fordere hohe Lösegelder, sei aber offen für Verhandlungen über niedrigere Zahlungen. „Nach dem Angriff auf Kaseya VSA am Freitag forderte sie 70 Millionen Dollar für ein Tool zur Entschlüsselung aller betroffenen Dateien. Am Montag reduzierte sie diese Forderung auf 50 Millionen Dollar.“ Wenn die Opfer jedoch nicht verhandeln oder zahlen, veröffentliche „REvil“ gestohlene Daten auf seiner „Happy Blog“ genannten Leak-Site.
- „Die Auswirkungen des Kaseya VSA-Angriffs, der einige Unternehmen unvorbereitet traf, weil er am Freitag um 16.00 Uhr ET gestartet wurde, also vor dem dreitägigen Feiertagswochenende in den USA, sind noch nicht bekannt.“ „REvil“ behaupte, über eine Million Systeme verschlüsselt zu haben.
REvil heute einer der bekanntesten Anbieter von Ransomware-as-a-Service
Während viele Menschen erst kürzlich von der Existenz von „REvil“ erfahren hätten, beobachteten die „Unit 42“-Bedrohungsforscher von Palo Alto Networks die mit dieser Gruppe verbundenen Akteure bereits seit drei Jahren. „Die Forscher stießen erstmals 2018 auf sie, als mit einer Gruppe namens ,GandCrab‘ beschäftigt waren, die nicht an Ransomware beteiligt war. Diese konzentrierte sich hauptsächlich auf Malvertising und Exploit-Kits, d.h. bösartige Werbung und Malware-Tools, die Hacker verwenden, um Opfer unwissentlich durch Drive-by-Downloads zu infizieren, wenn sie eine bösartige Website besuchen.“
Diese Gruppe habe sich später in „REvil“ umgewamdelt, sei gewachsen und habe sich den Ruf erworben, große Datenmengen zu stehlen und Lösegelder in Millionenhöhe zu fordern. „Heute ist sie einer der bekanntesten Anbieter von Ransomware-as-a-Service (RaaS).“ „REvil“ biete Kunden (sogenannten Affiliates) anpassbare Tools zur Ver- und Entschlüsselung, Angriffsinfrastruktur und Dienste für die Verhandlungskommunikation. Für diese Dienste kassiert „REvil“ einen Prozentsatz der Lösegeldzahlungen.
Ransomware-Betreiber Revil verfolgt zwei Ansätze, um Opfer zur Zahlung zu bewegen
„Wie die meisten Ransomware-Betreiber verwendet ,REvil‘ zwei Ansätze, um die Opfer zur Zahlung zu bewegen“, erläutert Whitmore:
- Die Gruppe verschlüssele Daten, so dass Unternehmen nicht mehr auf Informationen zugreifen, kritische Computersysteme nicht mehr verwenden oder von Backups wiederherstellen könnten.
- 2. Sie stehle auch Daten und drohe damit, sie auf ihrer Leak-Site zu veröffentlichen (eine Taktik, welche als sogenannte Doppelte Erpressung bekannt sei).
Die „Unit 42“ von Palo Alto Networks 42 verfolge diesen Angriff genau. Deren Forscher hätten einen Bedrohungsbericht in ihrem Blog veröffentlicht und würden in den kommenden Tagen weitere Informationen bereitstellen.
Weitere Informationen zum Thema:
paloalto NETWORKS, UNIT 42, 03.07.2021
Threat Brief: Kaseya VSA Ransomware Attacks
datensicherheit.de, 06.07.2021
Kaseya-Vorfall: Womöglich Tausende Unternehmen ins Visier Cyber-Krimineller geraten / Auch deutsche Unternehmen von Ransomware betroffen, welche auf Schwachstellen in der Kaseya-Software abzielt
datensicherheit.de, 05.07.2021
Bitkom-Stellungnahme zum Ransomware-Angriff via Kaseya / Auf einen Schlag Hunderte Unternehmen mit Ransomware ins Visier genommen
datensicherheit.de, 05.07.2021
Ransomware-Angriff: Folgen weltweit zu spüren / Zahlreiche IT-Dienstleister, deren Kunden und weitere Unternehmen Opfer von Ransomware geworden
Aktuelles, Experten - Dez 4, 2024 18:35 - noch keine Kommentare
Vorratsdatenspeicherung in Dauerschleife: eco fordert endlich klare Linie zum Schutz der Grundrechte
weitere Beiträge in Experten
- Crimenetwork: BKA und ZIT gelang Abschaltung
- TÜV Rheinland meldet weiter verschärfte IT-Sicherheitslage in Deutschland
- Datensouveränität: Bedeutung der Self Sovereign Identities
- Black Friday: Auch BSI warnt Schnäppchenjäger vor Cyber-Kriminellen
- Beantragung kostenfreier Schufa-Auskünfte gegen Entgelt: Verbraucherzentrale NRW moniert Web-Angebote
Aktuelles, Branche - Dez 5, 2024 12:43 - noch keine Kommentare
KI-basierte Deepfakes zur effektiven Täuschung als Angriffsvektor etabliert
weitere Beiträge in Branche
- Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyber-Angriffe
- Rund um den Black Friday 2024: Cyber-Gefahren für Einzelhandel drastisch zugenommen
- NIS-2 kompakt: it’s.BB e.V. lädt zu Präsenz-Awareness-Veranstaltung ein
- Industrie-Umgebungen: Cyber-Sicherheit trotz OT mit Alt-Systemen
- KI als zweischneidiges Schwert: Zukunft der Cyber-Bedrohung und -abwehr werden neu definiert
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren