[datensicherheit.de, 05.07.2022] Eine Branche war in Aufregung: Über 1.000 betroffene Unternehmen, Lösegeldforderung im Bereich von 70 Millionen US-Dollar. „Der Cyber-Angriff der ,REvil‘-Gruppe, bei dem der IT-Dienstleister Kaseya als Vehikel missbraucht wurde, schlug vor genau einem Jahr – sowie in den Wochen danach – hohe Wellen und rückt den Begriff der Supply-Chain-Attacke ins öffentliche Bewusstsein“, kommentiert Andreas Riepen, „Head Central & Eastern Europe“ bei Vectra AI, im Rückblick.

Foto: Vectra AI

Andreas Riepen: Wichtig, sich daran zu erinnern, dass es viele Arten von Cyber-Attacken auf die Lieferkette gibt!

Kaseya als warnendes Beispiel

Riepen betont: „Ein Jahr nach den Meldungen rund um den Supply-Chain-Angriff auf Kaseya ist es wichtig, sich daran zu erinnern, dass es viele Arten von Cyber-Attacken auf die Lieferkette gibt:

• das Aushängeschild (SolarWinds),
• das enttäuschte Vertrauen (missbrauchte Administratorenrechte),
• der ,Mid Chain‘-Angriff (Kaseya).“

Kaseya-Vorfall war einzigartig – das Unternehmen selbst wurde nicht gehackt

„Was Kaseya einzigartig machte, war, dass das Unternehmen selbst nicht gehackt wurde“, so Riepen. Stattdessen seien Schwachstellen in der VSA-Software von Kaseya entdeckt worden, von der Kopien bei MSP (Managed Services Provider) gelaufen seien. Das Design der VSA-Software habe einen Mechanismus für jeden Server geboten, um einen Software-Agenten an ein verwaltetes System im Netzwerk des MSP-Kunden zu senden.

„Die VSA-Schwachstelle wurde ausgenutzt, ein benutzerdefinierter Ransomware-Agent wurde erstellt und automatisch auf allen verwalteten Systemen des MSP bereitgestellt“, berichtet Riepen. Dies sei die Verwendung von GPO (Group Policy Object) auf MSP-Ebene zur Verbreitung von Malware. Kein klassischer Supply-Chain-Angriff – „Kaseya wurde nicht gehackt und dazu verwendet, die Malware an die VSA-Server zu liefern – sondern eher ein Mid-Chain-Angriff“.

Kaseya lässt Vertrauen in MSP-Sicherheitspraktiken überdenken

„Lektion gelernt? Wenn Unternehmen die Verwaltung ihrer Systeme an einen Dienstleister auslagern, der Software in das Herz des Netzwerks des Unternehmens einschleusen kann, muss das betroffene Unternehmen sicherstellen, dass es diese Tatsache in das Risiko-Register aufnimmt“, führt Riepen aus.

Viel häufiger und fundierter sollten sich die IT-Verantwortlichen fragen, „wie viel Vertrauen sie in die Sicherheitspraktiken des MSP setzen, und wie es um die Software bestellt ist, die sie verwenden, um ihre Systeme zu verwalten“.

Weitere Informationen zum Thema:

datensicherheit.de, 10.07.2021
Kaseya: Cyber-Kriminelle missbrauchen Ransomware-Vorfall für Phishing-Attacken / Phishing-Mails können z.B. aktuell Betreffzeilen enthalten, welche zum Update von Kaseya VSA auffordern

datensicherheit.de, 09.07.2021
Kaseya als Fanal: Unternehmen sollten Security-Strategie auf moderne Angriffstechniken abstellen / Richard Werner erläutert am Beispiel des Kaseya-Vorfalls Besonderheiten eines Supply-Chain-Angriffs

datensicherheit.de, 07.07.2021
Supply-Chain-Angriff bei Kaseya: Warnung für Unternehmen vor Ransomware aus allen Richtungen / Inzwischen Zehntausende von Kaseya-Kundensystemen weltweit betroffen

[datensicherheit.de, 22.02.2022] Richard Werner, „Business Consultant“ bei Trend Micro, geht in seiner aktuellen Stellungnahme auf das Thema „Cyber-Krieg“ ein: „Russland gilt als Land, welches Cyber-Kriminalität nicht verfolgt und die Tatsache, dass hier seit Januar mehrere Cyber-Kriminelle verhaftet wurden, überraschte zunächst.“ Politisch bewege man sich damit allerdings auf einem „Minenfeld“. Denn diese Verhaftungen könnten – als Zeichen des guten Willens – zur Entspannung der Ukraine-Krise beitragen; sie könnten aber bei einer Verschärfung der Krise ebenso „als Vorbereitung von staatlich unterstützter Piraterie und wirtschaftlicher Kriegsführung dienen“.

Foto: Trend Micro

Richard Werner: Wirklich erfolgreiche Cyber-Angriffe erzeugen nur punktuelle und schwer einzuschätzende Schäden…

Cyber-Kriminelle wie einst Freibeuter der Meere nur Spielball der Politik

Laut Medienberichten wurden Mitte Januar 2022 einige Protagonisten der Ransomware-Gruppierung „REvil“ durch Moskau verhaftet. „Sicherheitsforscher stellten mit Genugtuung fest, dass dies zu Ängsten und Verwirrung innerhalb der Cyber-Kriminellen-Szene führte. Viele fürchteten mit Russland einen sicheren Hafen zu verlieren. Aber Ransomware-Akteure sind, wie einst die Freibeuter der Meere, nur ein Spielball der Politik“, kommentiert Werner.

Dass im Speziellen „REvil“ festgesetzt wurde, dürfe als deutliches Zeichen zu verstehen sein, denn diese Gruppe habe seinerzeit hinter dem Angriff auf Colonial Pipeline in den USA gestanden – „die einzige Attacke auf eine Kritische Infrastruktur, die eine mehr als deutliche politische Reaktion auslöste“. Damit gebe Moskau potenziellen Nachahmungstätern ein Zeichen, welches von westlichen Beobachtern auch als Entgegenkommen gewertet worden sei.

Werner führt aus: „In einem eskalierenden Konflikt mit der Ukraine, wie wir ihn momentan beobachten, käme es für Russland aus verschiedenen Gründen ungelegen, wenn Cyber-Kriminelle Kritische Infrastrukturen im Westen angreifen und damit automatisch auch den eigenen politischen Handlungsspielraum einschränken.“

Wesen von Cyber-Waffen verstehen!

Formen der Cyber-Kriegsführung, wie Cyber-Spionage, Desinformationskampagnen oder disruptive Attacken auf Kritische Infrastrukturen bzw. Serversysteme eines Landes kann laut Werner nur verstehen, „wer sich mit dem Wesen von Cyber-Waffen auseinandersetzt“. Mit kleineren Aktionen ließen sich begrenzte Auswirkungen erzielen – „das beobachten wir schon seit über zehn Jahren“. Dadurch, dass es nicht möglich sei, den Urheber und dessen Motivation zweifelsfrei zu erfassen, handele es sich um politische Waffen, „die so lange wirken, wie sie in der Lage sind, Menschen zu verängstigen“. Größere Vorfälle, die auf Kritische Infrastrukturen oder ganze IT-Systeme eines Landes abzielten, seien hingegen für staatliche Täter nur extrem schwer kontrollierbar – „und damit als Kriegswaffe eigentlich ungeeignet“.

Als Beispiel diene „NotPetya“ von 2017. Werner erinnert: „Diese Attacke stellte sich mit großer Wahrscheinlichkeit als getarnter staatlicher Cyber-Angriff heraus, weil die Technik der Verbreitung und der angerichtete Schaden enorm fortschrittlich waren. Ganz im Gegensatz zum Ransomware-Anteil, der so unterentwickelt war, dass von einem Ablenkungsmanöver ausgegangen werden kann – im Gegensatz zu einem monetären Motiv.“ Die Ukraine habe dabei als Hauptopfer gegolten, aber auch europäische, US-amerikanische und russische Unternehmen seien von „NotPetya“ betroffen gewensen. „Denn ähnlich atomarer, biologischer und chemischer Waffen lassen sich digitale Waffen in ihrer Wirkung nicht einschränken. In einer vernetzten Welt treffen sie jeden“, betont Werner und warnt:

„Wer sie in einem Konflikt als Waffe einsetzt, muss damit rechnen, auch nicht teilnehmende Nationen sowie früher oder später sich selbst zu treffen.“ Versuche man als Täter dagegen die Waffe kontrolliert einzusetzen, brauche man Personal, um sie in ihrer Wirkung zu „betreuen“. Hierzu seien Spezialisten gefragt, um etwa pro ins Visier genommenem Unternehmen Erfolge sicherzustellen. Die Anzahl der möglichen Opfer sei durch diesen hohen Aufwand an Ressourcen automatisch begrenzt.

Cyber-Attacken eher für Manipulation und Ablenkung geeignet

Bisherige Vorfälle wie „Stuxnet“, ein im Jahr 2010 aufgedeckter und effektiver Computerwurm, oder „NotPetya“ hätten bewiesen: „Es ist möglich, mit gezielten Aktionen enorme Schäden anzurichten. Ein Kriegsgegner könnte Waffen wie diese einsetzen, um in einem eskalierenden Konflikt einer anderen Nation massive Probleme zu bereiten – mit Konsequenzen für weitere Staaten.“ Denn ebenso wie der Einsatz einer nuklearen Waffe hätte eine unkontrollierte digitale Eskalation der Krise zwischen Russland und der Ukraine auch Auswirkungen auf Deutschland, Europa und die ganze Welt.

Da die Folgen aber wesentlich milder seien als die einer nuklearen Bedrohung, könnte dieses Szenario für militärische „Falken“ weniger abschreckend wirken. Umso wichtiger sei es, die diplomatische Konfliktlösung in den Vordergrund zu stellen. Tatsächlich könne davon ausgegangen werden, dass heute jedes Land über Mittel verfügt, nicht allein defensiv zu reagieren. „So ist auch die Bundesregierung zumindest im Besitz der notwendigen Technik für einen ,Hackback‘, um bei Attacken zurückschlagen zu können“, so Werner.

Cyber-Kriegsführung sei in manchen Nationen mittlerweile fest etabliert und Angriffe kämen demzufolge strategisch zum Einsatz. In der Regel seien staatliche Täter jedoch mehr daran interessiert, durch Cyber-Attacken die öffentliche Wahrnehmung zu manipulieren oder Ablenkungsmanöver zu inszenieren, anstatt dauerhafte, weitgreifende Störungen – zum Beispiel Kritischer Infrastrukturen – zu verursachen. Die psychologische Wirkung überwiege an dieser Stelle. Wirklich erfolgreiche Cyber-Angriffe erzeugten nur punktuelle und schwer einzuschätzende Schäden, „die bestenfalls den Weg für einen konventionellen Schlag ebnen, ihn aber nicht ersetzen“, so Werners Fazit.

Weitere Informationen zum Thema:

BBC NEWS, 14.01.2022
REvil ransomware gang arrested in Russia

datensicherheit.de, 18.01.2022
REvil-Ransomware-Gruppe: Verhaftung in Russland auf Anfrage der USA / Diesmal REvil-Rädelsführer tatsächlich verhaftet und Vermögenswerte beschlagnahmt

[datensicherheit.de, 18.01.2022] „Die Malware-Industrie ist riesig. Ihre internen Wirtschafts- und Unternehmensstrukturen ähneln denen eines Fortune-500-Unternehmens, mit bestimmten Rollen, Verantwortlichkeiten und Geschäftszielen“, berichtet Christian Have, „CTO“ bei LogPoint, in seiner aktuellen Stellungnahme. In der Vergangenheit hätten Bedrohungsakteure bis zu einem gewissen Grad isoliert operiert und seien dadurch von polizeilichen und geheimdienstlichen Ermittlungen und Strafen verschont geblieben. Have führt aus: „Die Zerschlagung der ,REvil‘-Gruppe durch den russischen Geheimdienst FSB, womit dieser den USA entgegenkommt, stellt eine bedeutende Veränderung dar und übt Druck auf andere bekannte Bedrohungsakteure aus.“

Foto: LogPoint

Christian Have: Problem mit Ransomware durch hartes Vorgehen gegen Bedrohungsakteure nicht gelöst…

Fragmentierte Bedrohungslandschaft mögliche Folge der REvil-Zerschlagung

Auch wenn es erfreulich sei, dass Cyber-Kriminelle Konsequenzen zögen, werde das Problem mit Ransomware durch ein hartes Vorgehen gegen die Bedrohungsakteure nicht gelöst werden.

„Die Summen im Umlauf sind enorm hoch und Unternehmen zahlen immer noch Lösegeld“, so Have. Es werde also vielmehr ein Prozess gestartet, der eine „fragmentierte Bedrohungslandschaft“ schaffe.

REvil-Gruppe war raffiniert, aber dennoch aufzuspüren

Es sei ein Segen für die Cyber-Sicherheitsbranche gewesen, dass die sehr raffinierten Gruppen immer wieder dieselben Taktiken angewandt hätten, was ihre Aufspürung erleichtert habe. Jetzt drohe dieser Vorteil zu verschwinden.

„Vielleicht gehen Ransomware-Gruppen in Zukunft weniger raffiniert vor, wenn ihr Wirtschaftssystem dezentralisiert wird. Dennoch wird es weitaus mehr Innovationen geben, was Cyber-Sicherheitsexperten im Schutz von Organisationen vor neue Herausforderungen stellen wird“, prognostiziert Have abschließend.

Weitere Informationen zum Thema:

LOGPOINT, Christian Have, 21.07.2021
Im Krieg gegen Ransomware

LOGPOINT, Bhabesh Raj Rai, 25.05.2021
https://www.logpoint.com/de/blog/so-erkennen-sie-die-ransomware-fivehands-in-den-verschiedenen-stadien-der-kill-chain/

datensicherheit.de, 18.01.2022
REvil-Ransomware-Gruppe: Verhaftung in Russland auf Anfrage der USA / Diesmal REvil-Rädelsführer tatsächlich verhaftet und Vermögenswerte beschlagnahmt

datensicherheit.de, 09.11.2021
REvil-Festnahmen: Bedeutung für die Cyber-Sicherheit / International koordinierte Operation GoldDust gegen mehrere Affiliate-Partner der Ransomware-as-a-Service REvil

[datensicherheit.de, 09.11.2021] Laut einer aktuellen Stellungnahme von Mandiant haben in einer international koordinierten Operation Ermittler mehrere Affiliate-Partner der Ransomware-as-a-Service „REvil“ festgenommen, Sanktionen verhängt und Lösegeld in Höhe von 6,1 Millionen US-Dollar beschlagnahmt. Auch deutsche Ermittler seien an der „GoldDust“ genannten Operation beteiligt gewesen. Unter den Festgenommenen sei der Ukrainer Yaroslav Vasinskyi, „der für den Angriff auf das Unternehmen Kaseya und dessen Kunden verantwortlich sein soll“.

Foto: Mandiant

Kimberly Goody: Cyber-Kriminalität kennt keine Landesgrenzen!

REvil sehr aktive Ransomware-Bedrohung

„Diese jüngsten Ereignisse zeigen, wie wichtig es ist, bei der Bekämpfung von Ransomware-Bedrohungen einen differenzierten Ansatz zu verfolgen und mit internationalen Partnern zusammenzuarbeiten“, kommentiert Kimberly Goody, „Director of Financial Crime Analysis“ bei Mandiant. Denn Cyber-Kriminalität kenne keine Landesgrenzen.
„REvil“ habe sich seit dem ersten Auftreten im Mai 2019 als sehr aktive Ransomware-Bedrohung erwiesen. Mehr als 300 Unternehmen seien auf der Ransomware-Shaming-Website der Gruppe aufgetaucht. Die Opfer verteilten sich über 40 Länder.

REvil agierte mit Ransomware-as-a-Service-Modell

Goody erläutert: „REvil agierte mit einem Ransomware-as-a-Service-Modell und mehrere der jüngsten Verhaftungen und Sanktionen zielten auf Affiliate-Partner ab. Dies ist insofern bemerkenswert, dass Hacker in anderen Fällen, in denen eine Ransomware abgeschaltet wurde oder Störungen auftraten, zu anderen Ransomware-Affiliate-Programmen wechselten.“
Maßnahmen, die auf diese Partner abzielten, könnten sich stärker auf die Gesamtzahl der Angriffe auswirken. Denn im Vergleich zur Ransomware selbst seien die erforderlichen Fähigkeiten, um Ransomware in den Umgebungen der Opfer zu verbreiten und erfolgreich einzusetzen, im Darknet sehr gefragt.

Jüngste Ermittlungserfolge im Revil-Fall werden nicht alle Ransomware-Hacker abschrecken

Die jüngsten Maßnahmen gegen „REvil“-nahe Akteure seien zwar bedeutsam, jedoch ändere dies nichts daran, dass einige Länder aus strategischen Gründen Ransomware-Tätigkeiten tolerierten und ungehindert gewähren ließen, solange sich diese nicht gegen eigene nationale Interessen richteten.
„Dies bedeutet, dass die jüngsten Ermittlungserfolge nicht alle Ransomware-Hacker abschrecken werden“, befürchtet Goody. Insbesondere angesichts der Tatsache, wie lukrativ diese Form der Kriminalität geworden sei. Die Erhöhung der Kosten durch Verhaftungen und Sanktionen sei deshalb wichtig, um die Kosten-Nutzen-Analyse der Ransomware-Hacker negativ zu beeinflussen.

Weitere Informationen zum Thema:

datensicherheit.de, 10.07.2021
Kaseya-Vorfall: Unternehmen reagierten schnell / Anteil der anfälligen Kaseya-Server nach „REvil“-Angriff vom 2. Juli 2021 um 96 Prozent gesunken

datensicherheit.de, 09.07.2021
Kaseya als Fanal: Unternehmen sollten Security-Strategie auf moderne Angriffstechniken abstellen / Richard Werner erläutert am Beispiel des Kaseya-Vorfalls Besonderheiten eines Supply-Chain-Angriffs

datensicherheit.de, 08.07.2021
Kaseya-Vorfall zeigt Notwendigkeit der Netzwerküberwachung auch in KMU / Angreifer missbrauchten offenbar Zero-Day-Schwachstelle in Unified-Management-Software VSA von Kaseya

[datensicherheit.de, 10.07.2021] „Die Zahl der verwundbaren, öffentlich zugänglichen Kaseya-Server ist über das lange Wochenende des 4. Juli stark gesunken“, meldet Palo Alto Networks. Unternehmen reagierten demnach „schnell auf die Empfehlung des IT-Softwareherstellers, ihre Systeme offline zu nehmen, um die Auswirkungen des Ransomware-Angriffs von ,REvil‘ zu minimieren“.

Vorsichtig optimistisch, dass Auswirkungen des Angriffs auf Kaseya verringert wurden

Die Anzahl der verwundbaren, für Angreifer über das Internet sichtbaren Kaseya-Server sei um 96 Prozent von etwa 1.500 am 2. Juli auf 60 am 8. Juli 2021 gesunken – dies hätten Internet-Scans mit der „Cortex Xpanse“-Plattform von Palo Alto Networks ergeben.
„Es ist zwar noch zu früh, um zu wissen, wie sich das Ganze entwickeln wird. Wir sind dennoch vorsichtig optimistisch, dass die Auswirkungen dieses Angriffs verringert wurden, weil Kaseya seinen Kunden schnell klare Ratschläge gegeben hat, wie sie diese Bedrohung abmildern können“, so Matt Kraning, „Chief Technology Officer, Cortex“, bei Palo Alto Networks.

Kaseya mahnt Unternehmen, über vollständiges und genaues Inventar ihrer IT-Ressourcen zu verfügen

Dies sei eine gute Erinnerung daran, dass alle Unternehmen über ein vollständiges und genaues Inventar ihrer IT-Ressourcen verfügen sollten, betont Kraning. Dadurch könnten sie schnell und umfassend beurteilen, „ob sie Angriffen wie diesen ausgesetzt sind, und alle potenziell gefährdeten Ressourcen aus ihrem Netzwerk entfernen und isolieren“.
Für weitere Informationen zu „REvil“ empfiehlt Palo Alto Networks mach eigenen Angaben, den Blog-Artikel „Understanding REvil: The Ransomware Gang Behind the Kaseya VSA Attack“ vom 6. Juli 2021 zu lesen. Dieser enthalte Beobachtungen, die „Incident Responder“ und „Threat Researcher“ von der „Unit 42“ bei Palo Alto Networks in den letzten drei Jahren gesammelt hätten, „als sie die Akteure hinter dieser Ransomware-Gruppe verfolgt haben“.

Weitere Informationen zum Thema:

paloalto NETWORKS, UNIT 42, John Martineau, 06.07.2021
Understanding REvil: The Ransomware Gang Behind the Kaseya VSA Attack

datensicherheit.de, 09.07.2021
Kaseya als Fanal: Unternehmen sollten Security-Strategie auf moderne Angriffstechniken abstellen / Richard Werner erläutert am Beispiel des Kaseya-Vorfalls Besonderheiten eines Supply-Chain-Angriffs

[datensicherheit.de, 06.07.2021] Sicherheitsteams rund um den Globus machten seit dem 2. Juli 2021 Überstunden, als die Nachricht aufgetaucht sei, dass „REvil“ Ransomware-Angriffe auf den IT-Management-Softwarehersteller Kaseya VSA und seine Kunden gestartet habe – mittlerweile seien auch Betroffene in Zentraleuropa benannt worden. Wendi Whitmore, „Senior Vice President of Cyber Consulting and Threat Intelligence“ bei der „Unit 42“ von Palo Alto Networks, fasst in ihrer aktuellen Stellungnahme die gegenwärtigen Erkenntnisse zusammen. Sie berichtet: „Bislang hat ,Unit 42‘ von Palo Alto Networks in diesem Jahr auf mehr als ein Dutzend Fälle reagiert, in denen ,REvil‘ (auch bekannt als ,Sodinokibi‘) involviert war, was es zu einer der produktivsten Ransomware-Gruppen macht, die bekannt sind.“

Foto: Palo Alto Networks

Wendi Whitmore: Die Unit 42 von Palo Alto Networks hat 2021 bereits auf mehr als ein Dutzend solcher Ransomware-Fälle reagiert

Revil: Durchschnittliche Zahlung bei Ransomware-Vorfällen etwa 2,25 Millionen US-Dollar

Im Folgenden gibt Whitmore einige Erkenntnisse wieder, welche von den Ermittlern und Bedrohungsforschern der „Unit 42“ von Palo Alto Networks gesammelt worden seien:

• „Die durchschnittliche Zahlung, die ,Unit 42‘ in diesem Jahr bei ,REvil‘-Vorfällen beobachtet hat, betrug etwa 2,25 Millionen US-Dollar.“ Die größte bekannte Lösegeldforderung habe elf Millionen US-Dollar nach einem vielbeachteten Angriff auf das weltgrößte Fleischverpackungsunternehmen, welcher die Verarbeitungsanlagen lahmgelegt habe, betragen.
• Diese Gruppe fordere hohe Lösegelder, sei aber offen für Verhandlungen über niedrigere Zahlungen. „Nach dem Angriff auf Kaseya VSA am Freitag forderte sie 70 Millionen Dollar für ein Tool zur Entschlüsselung aller betroffenen Dateien. Am Montag reduzierte sie diese Forderung auf 50 Millionen Dollar.“ Wenn die Opfer jedoch nicht verhandeln oder zahlen, veröffentliche „REvil“ gestohlene Daten auf seiner „Happy Blog“ genannten Leak-Site.
• „Die Auswirkungen des Kaseya VSA-Angriffs, der einige Unternehmen unvorbereitet traf, weil er am Freitag um 16.00 Uhr ET gestartet wurde, also vor dem dreitägigen Feiertagswochenende in den USA, sind noch nicht bekannt.“ „REvil“ behaupte, über eine Million Systeme verschlüsselt zu haben.

REvil heute einer der bekanntesten Anbieter von Ransomware-as-a-Service

Während viele Menschen erst kürzlich von der Existenz von „REvil“ erfahren hätten, beobachteten die „Unit 42“-Bedrohungsforscher von Palo Alto Networks die mit dieser Gruppe verbundenen Akteure bereits seit drei Jahren. „Die Forscher stießen erstmals 2018 auf sie, als mit einer Gruppe namens ,GandCrab‘ beschäftigt waren, die nicht an Ransomware beteiligt war. Diese konzentrierte sich hauptsächlich auf Malvertising und Exploit-Kits, d.h. bösartige Werbung und Malware-Tools, die Hacker verwenden, um Opfer unwissentlich durch Drive-by-Downloads zu infizieren, wenn sie eine bösartige Website besuchen.“
Diese Gruppe habe sich später in „REvil“ umgewamdelt, sei gewachsen und habe sich den Ruf erworben, große Datenmengen zu stehlen und Lösegelder in Millionenhöhe zu fordern. „Heute ist sie einer der bekanntesten Anbieter von Ransomware-as-a-Service (RaaS).“ „REvil“ biete Kunden (sogenannten Affiliates) anpassbare Tools zur Ver- und Entschlüsselung, Angriffsinfrastruktur und Dienste für die Verhandlungskommunikation. Für diese Dienste kassiert „REvil“ einen Prozentsatz der Lösegeldzahlungen.

Ransomware-Betreiber Revil verfolgt zwei Ansätze, um Opfer zur Zahlung zu bewegen

„Wie die meisten Ransomware-Betreiber verwendet ,REvil‘ zwei Ansätze, um die Opfer zur Zahlung zu bewegen“, erläutert Whitmore:

1. Die Gruppe verschlüssele Daten, so dass Unternehmen nicht mehr auf Informationen zugreifen, kritische Computersysteme nicht mehr verwenden oder von Backups wiederherstellen könnten.
2. 2. Sie stehle auch Daten und drohe damit, sie auf ihrer Leak-Site zu veröffentlichen (eine Taktik, welche als sogenannte Doppelte Erpressung bekannt sei).

Die „Unit 42“ von Palo Alto Networks 42 verfolge diesen Angriff genau. Deren Forscher hätten einen Bedrohungsbericht in ihrem Blog veröffentlicht und würden in den kommenden Tagen weitere Informationen bereitstellen.

Weitere Informationen zum Thema:

paloalto NETWORKS, UNIT 42, 03.07.2021
Threat Brief: Kaseya VSA Ransomware Attacks

datensicherheit.de, 06.07.2021
Kaseya-Vorfall: Womöglich Tausende Unternehmen ins Visier Cyber-Krimineller geraten / Auch deutsche Unternehmen von Ransomware betroffen, welche auf Schwachstellen in der Kaseya-Software abzielt

datensicherheit.de, 05.07.2021
Bitkom-Stellungnahme zum Ransomware-Angriff via Kaseya / Auf einen Schlag Hunderte Unternehmen mit Ransomware ins Visier genommen

datensicherheit.de, 05.07.2021
Ransomware-Angriff: Folgen weltweit zu spüren / Zahlreiche IT-Dienstleister, deren Kunden und weitere Unternehmen Opfer von Ransomware geworden

[datensicherheit.de, 15.06.2021] Nun soll laut Berichten in US-Medien auch das US-Unternehmen Sol Oriens Opfer einer Ransomware-Attacke geworden sein. Sol Oriens sei beratend für US-Behörden tätig – unter anderem für die Nationale Verwaltung für Nukleare Sicherheit (National Nuclear Security Administration / NNSA). Diese Behörde sei für den Erhalt des Kernwaffenarsenals der USA zuständig.

Cyber-Attacke mit Ransomware auf Sol Oriens im Mai 2021

Auf Anfrage von CNBC habe Sol Oriens eine Cyber-Attacke im Mai 2021 bestätigte, welche demnach das Netzwerk dieses Unternehmens betraf. Laut Sol Oriens werde der Vorfall noch untersucht. Allerdings gebe es aktuelle „keine Anzeichen dafür, dass dieser Vorfall klassifizierte oder kritische sicherheitsrelevante Informationen von Kunden betrifft“.
Hinter dieser Attacke soll laut Medienberichten die kriminelle Hacker-Gruppe „Revil“ stecken. Diese sei unter anderem auch für den Angriff auf den weltweit größten Fleischkonzern JBS verantwortlich gewesen.

Jüngste Ransomware-Attacken mahnen: Höchste Zeit, mehr als nur das Minimum zu tun!

Der jüngste erfolgreiche Angriff auf die US-Regierung und ihre Auftragnehmer sei eine weitere Erinnerung für den öffentlichen und privaten Sektor, dass es an der Zeit sei, mehr als nur das Minimum zu tun. So Sam Curry, „CSO“ bei Cyberreason, in seinem Kommentar: „Es ist an der Zeit, die Sicherheitspraktiken zu verschärfen und zu verbessern.“
In diesem Zusammenhang nennt er die Schlagwörter „Least Privilege“, Resilienz, Planung für das Schlimmste und eine Mentalität des Erkennens. Curry rät: „Machen Sie nicht einfach weiter wie bisher – gehen Sie von einer Infektion aus und werden Sie gut darin, diese zu verhindern, sie zu finden, sich von ihr zu erholen und den ,Explosionsradius‘ zu begrenzen, wenn sie passiert.“

„Revil“ mutmaßlich größte Ransomware-Kartelloperation der Welt

Ja, die Asymmetrie in Cyber-Konflikten begünstigt die Angreifer, und bisher würden die Angreifer immer effektiver, schneller als die Verteidiger. „Das ist kein Grund zur Verzweiflung, aber es ist ein Weckruf für Innovation und um neue Methoden der Zusammenarbeit und der Gegenwehr zu finden“ so Curry. Es sei ein Aufruf an uns alle, die vernetzte Welt zu schützen und diesen Trend umzukehren. Es gebe Möglichkeiten, sicher zu sein und unseren gegenseitigen Schutz zu verstärken, aber einfach mehr vom Bisherigen zu tun, sei „ein Rezept für eine Katastrophe“.
„Revil“ habe sich zur größten Ransomware-Kartelloperation der Welt entwickelt. Die Bedrohungsakteure hätten ein einziges Ziel – „und das ist, so viel Geld wie möglich zu verdienen“. JBS, Acer, Apple und viele andere Unternehmen seien Opfer geworden. „REvil“ folge dem Trend der doppelten Erpressung, bei der die Bedrohungsakteure zunächst sensible, auf Systemen gespeicherte Informationen exfiltrierten, bevor sie die Verschlüsselungsroutine starteten. „Nachdem sie die Daten des Ziels verschlüsselt und die Lösegeldforderung gestellt haben, droht ,REvil‘ zusätzlich mit der Veröffentlichung der exfiltrierten Daten, falls das Lösegeld nicht gezahlt wird“, berichtet und warnt Curry.

Weitere Informationen zum Thema:

MALICIOUSLIFE, 02.06.2021
Cybereason vs. REvil Ransomware

datensicherheit.de, 12.06.2021
Ransomware-Hacker: Nach dem Angriff könnte vor dem Angriff sein / Eric Waltert von Veritas Technologies kommentiert Ransomware-Angriffe auf JBS und Colonial Pipeline

[datensicherheit.de, 26.10.2019] IT-Sicherheitsexperten der PSW GROUP mahnen Personalabteilungen von Unternehmen zur Vorsicht: „Cyber-Kriminelle greifen derzeit gezielt Personalabteilungen an, indem diese E-Mails mit angeblichen Bewerbungen versenden. Auf diese Weise wollen Angreifer die ,Sodinokibi‘-Ransomware verbreiten, die auch unter den Namen ,Sodin‘ oder ,REvil‘ bekannt ist. Wer den Anhang, also die vermeintliche Bewerbung öffnet, aktiviert sofort die Ransomware, die sämtliche Funktionen auf dem betroffenen Rechner verschlüsselt“, warnt Patrycja Tulinska, Geschäftsführerin der PSW GROUP.

1.180 Euro in Bitcoin als Lösegeld

Für eine Entschlüsselung fordern die Erpresser laut Tulinska einen Betrag von 0,16 Bitcoin – das sind umgerechnet etwa 1.180 Euro. „Zahlt das Opfer nicht binnen einer Woche, so verdoppelt sich dieser Betrag.“
Als Absender seien neben „Sandra Schneider“ bereits „Martina Peters“ oder „Sabine Lerche“ im Umlauf. „Es ist anzunehmen, dass sich die Cyber-Kriminellen nach und nach neue Namen überlegen, um den Erfolg der Angriffe mit der ,Sodinokibi‘-Ransomware hoch zu halten“, so die IT-Sicherheitsexpertin.

Foto: PSW GROUP

Patrycja Tulinska rät zu Datensicherung auf externem Speichermedium

Selbe Infrastruktur wie beim Verschlüsselungstrojaner GandCrab

Die erst seit Kurzem aktive „Sodinokibi“-Ransomware arbeitet demnach offenbar mit derselben Infrastruktur, welche die Macher des Verschlüsselungstrojaners „GandCrab“ nutzen. Nachdem sie mit „GandCrab“ rund 150 Millionen US-Dollar erbeutet hätten, wollten sich die Kriminellen mit den erwarteten Einnahmen aus „Sodinokibi“ in den Ruhestand verabschieden.
Hinweise auf eine Verbindung zwischen den beiden Verschlüsselungstrojanern habe der Security-Blogger Brian Krebs dargelegt. So berichtet er laut Tulinska unter anderem, dass ein Cyber-Krimineller Anfang Mai 2019 in einschlägigen Untergrundforen weitere Kriminelle für ein neues Ransomware-Projekt habe rekrutieren wollen.

Sodinokibi-Ransomware aka REvil aka Sodin auch bereits über gefälschte E-Mails des BSI verteilt

„Die ,Sodinokibi‘-Ransomware aka ,REvil‘ aka ,Sodin‘ wurde darüber hinaus bereits über gefälschte E-Mails des Bundesamtes für Sicherheit in der Informationstechnik verteilt. In den Spam-Mails mit dem Trojaner an Bord wurde ein Datenmissbrauch vorgetäuscht und auf den Anhang verwiesen. Im anhängenden Zip-Archiv befand sich dann ein Downloader für die ,Sodinokibi‘-Ransomware“, erläutert Tulinska.
Dass Ransomware weiter auf dem Vormarsch sei, beweise ein alter Bekannter: „Emotet“, der im ersten Quartal dieses Jahres bereits sein Unwesen getrieben habe, sei zurück. Erst kürzlich habe das BSI eine Meldung mit dem Titel „Zunahme von erfolgreichen Cyber-Angriffen mit Emotet“ herausgegeben. Der Angriff über E-Mail sei derart ausgeklügelt gewesen, dass sich nicht einmal ausgezeichnet informierte Unternehmen hätten schützen können.

Sodinokibi-Ransomware nutzt jede mögliche Angriffsmöglichkeit

„,Emotet‘ und die ,Sodinokibi‘-Ransomware verteilen sich allerdings unterschiedlich. Die Cyber-Kriminellen hinter ,Emotet‘ nutzen vorrangig das sogenannte Dynamit-Phishing, bei dem sich der Trojaner zwar automatisch, jedoch angepasst an seine ,Zielumgebung‘, beispielsweise ein bestimmtes Unternehmen, verbreitet. Die ,Sodinokibi‘-Ransomware hingegen nutzt jeden Angriff, der möglich ist: Wurden zuerst Sicherheitslücken in Server-Software ausgenutzt, phisht ,Sodin‘ mittlerweile auch über groß angelegte Spam-Kampagnen, etwa per Mailvertising“, erklärt Tulinska.
Die IT-Sicherheitsexpertin rät deshalb einmal mehr zu äußerster Vorsicht in der E-Mail-Kommunikation: „Das eigene Personal muss unbedingt entsprechend geschult werden und bestimmte Verhaltensweisen beherzigen. Dazu gehört, auf das Nachladen von HTML-Inhalten zu verzichten und Nachrichten ausschließlich im Rein-Text anzeigen zu lassen. Das gilt auch für digital signierte E-Mails. Wenngleich Links und Befehle so zwar nicht automatisiert ausgeführt werden, ist das sicherer.“

Grundsätzlich Anhänge in E-Mails mit Skepsis begegnen!

Grundsätzlich sollten Anhänge mit Skepsis betrachtet und nur geöffnet werden, „wenn sichergestellt ist, dass sie auch von diesem Absender stammen und er vertrauenswürdig ist – im Zweifelsfalle hilft eine Rückversicherung per Telefon“. Zudem sollte nicht nur eine gute Anti-Viren-Software installiert sein, sondern diese auch durch regelmäßige Updates auf aktuellem Stand sein. Das Gleiche gelte auch für Clients, Plugins und sonstige Software.
„Eine zusätzliche Datensicherung auf einem externen, verschlüsselten Speichermedium garantiert im Fall einer erfolgreichen Cyber-Attacke, dass die Daten nicht gänzlich verloren sind und wieder aufgespielt werden können“, empfiehlt Tulinska im Hinblick auf regelmäßige Daten-Backups.

Weitere Informationen zum Thema:

PSW GROUP, 02.10.2019
Verschlüsselung / Sodinokibi-Ransomware: Bewerbung mit Folgen

datensicherheit.de, 02.08.2019
Fake-WebShops: PSW GROUP gibt Tipps zum Erkennen

datensicherheit.de, 25.06.2019
PSW GROUP warnt vor versteckter Malware

datensicherheit.de, 18.03.2019
PSW GROUP warnt: Trojaner Emotet gefährlicher denn je