Kommentar: REvil stellt höchste Lösegeldforderung der Geschichte

FireEye News

Beitrag teilen

Am 2. Juli 2021 nutzte ein Anwender von REvil/Sodinokibi mehrere Schwachstellen im Produkt Kaseya VSA aus, um einen Ransomware-Verschlüsseler an damit verbundene Endpunkte zu verteilen. Es ist die höchste Lösegeldforderung in der Geschichte. Ein Kommentar von Charles Carmakal, SVP and CTO, Mandiant.

Kaseya VSA ist eine Lösung zur Fernüberwachung- und -verwaltung, die von Managed Service Providern (MSPs) und Unternehmen zur Fernverwaltung von Computersystemen eingesetzt wird. Die Anzahl der von der REvil-Ransomware-Störung betroffenen Organisationen ist derzeit nicht bekannt, aber Kaseya schätzt, dass die Fallzahl unter 1.500 liegt. Bei vielen der betroffenen Unternehmen handelt es sich um sehr kleine Familienbetriebe, die aufgrund des Feiertagswochenendes in den USA erst spät von den Auswirkungen erfahren haben.

REvil Ransomware-as-a-Service (RaaS)

REvil Ransomware-as-a-Service (RaaS) wurde seit Mai 2019 in russischsprachigen Untergrundforen beworben. Beim RaaS-Geschäftsmodell entwickelt eine zentrale Gruppe die Ransomware, kommuniziert mit den Opfern und betreibt die Backend-Infrastruktur. Partner oder angeschlossene Gruppen führen die Angriffe durch und verbreiten die Ransomware. Die RaaS wird von dem Hacker „UNKN“ (auch bekannt als „Unknown“) betrieben, der keine englischsprachigen Partner akzeptiert und den Partnern nicht erlaubt, GUS-Länder, einschließlich der Ukraine, anzugreifen. Die bekannten Anwender sind russischsprachig, doch es ist wahrscheinlich, dass einige der Beteiligten nicht physisch in Russland ansässig sind. Nach dem Colonial-Pipeline-Angriff bemühte sich UNKN, die Ziele der REvil-Anwender einzuschränken und bestand darauf, die Ziele vor dem Verteilen der Ransomware zu überprüfen.

REvil fordert 70 Millionen Dollar Lösegeld

Charles Carmakal, SVP and CTO, Mandiant (Bild: FireEye)

REvil übernahm die Verantwortung für den Angriff am Abend des 4. Juli und behauptete, mehr als eine Millionen Systeme getroffen zu haben. Sie fordern 70 Millionen US-Dollar für einen universellen Entschlüsselungscode, mit dem jedes betroffene System entsperrt werden kann. Diese exorbitante Summe ist die höchste in der Geschichte. In privaten Gesprächen hat REvil seine Forderungen proaktiv gesenkt. Zudem sind sie dafür bekannt, den Umfang und die Auswirkungen ihrer Angriffe zu überspitzen. Darüber hinaus hat REvil bisher keine Daten aus den Infiltrierungen veröffentlicht. Eine Methode, die sie oft anwenden, um ihre Opfer zu einer Zahlung zu zwingen. Solange Kriminelle Lösegelder in zweistelliger Millionenhöhe fordern können und ihnen keine Gefängnisstrafe droht, wird sich dieses Problem weiter verschärfen. Diese Gruppen sind gut finanziert und hoch motiviert und nur ein entschlossenes, gemeinschaftliches Vorgehen wird das Blatt wenden können.

Mehr bei FireEye.com

 


Über Trellix

Trellix ist ein globales Unternehmen, das die Zukunft der Cybersicherheit neu definiert. Die offene und native XDR-Plattform (Extended Detection and Response) des Unternehmens hilft Unternehmen, die mit den fortschrittlichsten Bedrohungen von heute konfrontiert sind, Vertrauen in den Schutz und die Ausfallsicherheit ihrer Betriebsabläufe zu gewinnen. Die Sicherheitsexperten von Trellix beschleunigen zusammen mit einem umfangreichen Partner-Ökosystem technologische Innovationen durch maschinelles Lernen und Automatisierung, um über 40.000 Geschäfts- und Regierungskunden zu unterstützen.


 

Passende Artikel zum Thema

Bösartiges Site Hopping

In letzter Zeit wird vermehrt eine neue Technik zur Umgehung von Sicherheitsscannern eingesetzt, nämlich das „Site Hopping“. Diese Technik ist ➡ Weiterlesen

Finanzsektor zahlt bei Ransomware-Attacken Rekordsummen

Stetig wächst die Zahl der jährlichen Ransomware-Attacken auf Unternehmen des Finanzsektors: waren es in 2021 noch 34 Prozent, stieg die ➡ Weiterlesen

Neue Ransomware-Gruppe Money Message entdeckt

Bereits im April dieses Jahres wurde eine neue Ransomware-Gruppe namens „Money Message“ aktiv. Während die Cyberkriminellen bislang unter dem Radar ➡ Weiterlesen

Wardriving mit künstlicher Intelligenz

Mittlerweile werden KI-Tools millionenfach eingesetzt, um Themen zu recherchieren, Briefe zu schreiben und Bilder zu erstellen. Doch auch im Bereich ➡ Weiterlesen

Analyse: So läuft ein Angriff der Akira Ransomware-Gruppe ab

Die Südwestfalen-IT wurde von der Hackergruppe „Akira“ angegriffen, was dazu führt, dass zahlreiche Kommunalverwaltungen seit Wochen nur eingeschränkt arbeiten können. ➡ Weiterlesen

LockBit veröffentlich 43 GByte gestohlene Boeing-Daten

Bereits im Oktober vermeldete die APT-Gruppe LockBit, dass man bei Boeing in die Systeme eingedrungen sei und viele Daten gestohlen ➡ Weiterlesen

Veeam ONE: Hotfix für kritische Schwachstellen steht bereit 

Veeam informiert seine Nutzer über zwei kritische und zwei mittlere Schwachstellen in Veeam One für die bereits Patches bereitstehen. Die ➡ Weiterlesen

Cyberattacke auf Deutsche Energie-Agentur – dena

Die Deutsche Energie-Agentur vermeldet nach eigenen Angaben eine Cyberattacke am Wochenende vom 11. auf den 12. November. Die Server sind ➡ Weiterlesen