Kommentar: REvil stellt höchste Lösegeldforderung der Geschichte

FireEye News
Anzeige

Beitrag teilen

Am 2. Juli 2021 nutzte ein Anwender von REvil/Sodinokibi mehrere Schwachstellen im Produkt Kaseya VSA aus, um einen Ransomware-Verschlüsseler an damit verbundene Endpunkte zu verteilen. Es ist die höchste Lösegeldforderung in der Geschichte. Ein Kommentar von Charles Carmakal, SVP and CTO, Mandiant.

Kaseya VSA ist eine Lösung zur Fernüberwachung- und -verwaltung, die von Managed Service Providern (MSPs) und Unternehmen zur Fernverwaltung von Computersystemen eingesetzt wird. Die Anzahl der von der REvil-Ransomware-Störung betroffenen Organisationen ist derzeit nicht bekannt, aber Kaseya schätzt, dass die Fallzahl unter 1.500 liegt. Bei vielen der betroffenen Unternehmen handelt es sich um sehr kleine Familienbetriebe, die aufgrund des Feiertagswochenendes in den USA erst spät von den Auswirkungen erfahren haben.

Anzeige

REvil Ransomware-as-a-Service (RaaS)

REvil Ransomware-as-a-Service (RaaS) wurde seit Mai 2019 in russischsprachigen Untergrundforen beworben. Beim RaaS-Geschäftsmodell entwickelt eine zentrale Gruppe die Ransomware, kommuniziert mit den Opfern und betreibt die Backend-Infrastruktur. Partner oder angeschlossene Gruppen führen die Angriffe durch und verbreiten die Ransomware. Die RaaS wird von dem Hacker „UNKN“ (auch bekannt als „Unknown“) betrieben, der keine englischsprachigen Partner akzeptiert und den Partnern nicht erlaubt, GUS-Länder, einschließlich der Ukraine, anzugreifen. Die bekannten Anwender sind russischsprachig, doch es ist wahrscheinlich, dass einige der Beteiligten nicht physisch in Russland ansässig sind. Nach dem Colonial-Pipeline-Angriff bemühte sich UNKN, die Ziele der REvil-Anwender einzuschränken und bestand darauf, die Ziele vor dem Verteilen der Ransomware zu überprüfen.

REvil fordert 70 Millionen Dollar Lösegeld

Charles Carmakal, SVP and CTO, Mandiant (Bild: FireEye)

REvil übernahm die Verantwortung für den Angriff am Abend des 4. Juli und behauptete, mehr als eine Millionen Systeme getroffen zu haben. Sie fordern 70 Millionen US-Dollar für einen universellen Entschlüsselungscode, mit dem jedes betroffene System entsperrt werden kann. Diese exorbitante Summe ist die höchste in der Geschichte. In privaten Gesprächen hat REvil seine Forderungen proaktiv gesenkt. Zudem sind sie dafür bekannt, den Umfang und die Auswirkungen ihrer Angriffe zu überspitzen. Darüber hinaus hat REvil bisher keine Daten aus den Infiltrierungen veröffentlicht. Eine Methode, die sie oft anwenden, um ihre Opfer zu einer Zahlung zu zwingen. Solange Kriminelle Lösegelder in zweistelliger Millionenhöhe fordern können und ihnen keine Gefängnisstrafe droht, wird sich dieses Problem weiter verschärfen. Diese Gruppen sind gut finanziert und hoch motiviert und nur ein entschlossenes, gemeinschaftliches Vorgehen wird das Blatt wenden können.

Anzeige

Mehr bei FireEye.com

 


Über FireEye

FireEye ist Anbieter von Intelligence-basierten Sicherheitslösungen. Die FireEye-Plattform vereint innovative Sicherheitstechnologien, Threat Intelligence auf staatlichem Niveau und die weltbekannten Mandiant® Beratungsservices – und ist damit die nahtlose und skalierbare Erweiterung der IT-Sicherheitsvorkehrungen seiner Kunden. Mit diesem Ansatz entfernt FireEye die Komplexität von und die Belastung durch Cyber-Sicherheit für Unternehmen und unterstützt diese, sich auf Cyber-Angriffe besser vorzubereiten, diese zu verhindern oder darauf zu reagieren. FireEye hat über 8.500 Kunden in 103 Ländern, darunter mehr als 50 Prozent der Forbes Global 2000.


 

Passende Artikel zum Thema

REvil: Zugriff bei Ransomware-Gruppe – 6 Mill. Dollar Lösegeld gefunden

In einer international koordinierten Operation haben Ermittler mehrere Affiliate-Partner der Ransomware-as-a-Service REvil festgenommen, Sanktionen verhängt und Lösegeld in Höhe von ➡ Weiterlesen

Neuer, kostenfreier und universeller REvil-Dekryptor

Bitdefender bietet einen neuen, kostenfreien und universellen REvil-Dekryptor an. Das Tool beinhaltet einen allgemeinen Key für alle vor dem 13. ➡ Weiterlesen

IT-Mensch versus REvil – eine Live-Attacke

Das Managed-Threat-Response-Team von Sophos im direkten Schlagabtausch mit REvil-Ransomware. Ein konkreter Fall zeigt, wie die Cyberkriminellen vorgegangen sind, wie das Managed-Threat-Response ➡ Weiterlesen

REvil expandiert weltweit weiter

Im Juli attackierte die Ransomware-Gruppe REvil, aka Sodinokibi, im Rahmen eines großen Cyberangriffs Managed Service Provider (MSPs) und deren Kunden ➡ Weiterlesen

Research: REvil-Ransomware untersucht

REvil, auch bekannt als Sodinokibi, ist ein ausgereiftes und weit verbreitetes Ransomware-as-a-Service (RaaS) Angebot. Sophos-Forscher haben die Tools und Verhaltensweisen ➡ Weiterlesen

71 Milliarden erkannte Attacken auf RDP-Fernzugriffe in nur 18 Monaten

Wie ein ESET Whitepaper zeigt: Ransomware verbirgt sich hinter 71 Milliarden Attacken auf RDP-Fernzugriffe - und das in nur 18 ➡ Weiterlesen