Kaseya Ransomware-Angriffe – eine Zwischenbilanz

Sicherheitsteams rund um den Globus machen seit letzte Woche Überstunden, als die Nachricht auftauchte, dass REvil Ransomware-Angriffe auf den IT-Management-Softwarehersteller Kaseya VSA und seine Kunden (mittlerweile sind auch betroffene in Zentraleuropa beannt) gestartet hat. Hier einige aktuelle Erkenntnisse.

„Bislang haben wir in diesem Jahr auf mehr als ein Dutzend Fälle reagiert, in denen REvil (auch bekannt als Sodinokibi) involviert war, was es zu einer der produktivsten Ransomware-Gruppen macht, die bekannt sind“, so Wendi Whitmore, Senior Vice President of Cyber Consulting and Threat Intelligence bei Palo Alto Networks/Unit 42. Sie berichtet von den aktuellen Erkenntnissen, die Ermittler und Bedrohungsforscher in ihrem Unternehmen gesammelt haben.

  • „Die durchschnittliche Zahlung, die Unit 42 in diesem Jahr bei REvil-Vorfällen beobachtet hat, betrug etwa 2,25 Millionen US-Dollar. Die größte bekannte Lösegeldforderung betrug 11 Millionen Dollar nach einem viel beachteten Angriff auf das weltgrößte Fleischverpackungsunternehmen, der die Verarbeitungsanlagen lahmlegte.
  • Die Gruppe fordert hohe Lösegelder, ist aber offen für Verhandlungen über niedrigere Zahlungen. Nach dem Angriff auf Kaseya VSA am vergangenen Freitag forderte sie 70 Millionen Dollar für ein Tool zur Entschlüsselung aller betroffenen Dateien. Am Montag reduzierte sie diese Forderung auf 50 Millionen Dollar. Wenn die Opfer jedoch nicht verhandeln oder zahlen, veröffentlicht REvil gestohlene Daten auf seiner Leak-Site, die es „Happy Blog“ nennt.
  • Die Auswirkungen des Kaseya VSA-Angriffs, der einige Unternehmen unvorbereitet traf, weil er vor dem dreitägigen Feiertagswochenende in den USA gestartet wurde, sind noch nicht bekannt. REvil behauptet, über eine Million Systeme verschlüsselt zu haben.

Während viele Menschen erst kürzlich von der Existenz von REvil erfahren haben, beobachten die Bedrohungsforscher von Palo Alto Networks/Unit 42 die mit dieser Gruppe verbundenen Akteure bereits seit drei Jahren. Die Forscher stießen erstmals 2018 auf sie, als mit einer Gruppe namens „GandCrab“ beschäftigt waren, die nicht an Ransomware beteiligt war. Diese konzentrierte sich hauptsächlich auf Malvertising und Exploit-Kits, also bösartige Werbung und Malware-Tools, die Hacker verwenden, um Opfer unwissentlich durch Drive-by-Downloads zu infizieren, wenn sie eine bösartige Website besuchen.

Diese Gruppe wandelte sich später in REvil um, wuchs und erwarb sich den Ruf, große Datenmengen zu stehlen und Lösegelder in Millionenhöhe zu fordern. Heute ist sie einer der bekanntesten Anbieter von Ransomware-as-a-Service (RaaS). REvil bietet Kunden (sogenannten Affiliates) anpassbare Tools zur Ver- und Entschlüsselung, Angriffsinfrastruktur und Dienste für die Verhandlungskommunikation. Für diese Dienste kassiert REvil einen Prozentsatz der Lösegeldzahlungen.

Wie die meisten Ransomware-Betreiber verwendet REvil zwei Ansätze, um die Opfer zur Zahlung zu bewegen:

  1. Die Gruppe verschlüsselt Daten, so dass Unternehmen nicht mehr auf Informationen zugreifen, kritische Computersysteme nicht mehr verwenden oder von Backups wiederherstellen können.
  2. Sie stiehlt auch Daten und droht damit, sie auf ihrer Leak-Site zu veröffentlichen (eine Taktik, die als doppelte Erpressung bekannt ist).

Unit 42 von Palo Alto Networks 42 verfolgt diesen Angriff genau. Die Forscher haben einen Bedrohungsbericht in ihrem Blog veröffentlicht und werden in den kommenden Tagen weitere Informationen bereitstellen.“

Foto: Wendi Whitmore, Senior Vice President of Cyber Consulting and Threat Intelligence bei Palo Alto Networks/Unit 42

Teaserbild: © Adobe Stock/normalfx

https://stock.adobe.com/de/contributor/206243005/rawf8?load_type=author&prev_url=detail