Kommentar: REvil stellt höchste Lösegeldforderung der Geschichte

FireEye News

Beitrag teilen

Am 2. Juli 2021 nutzte ein Anwender von REvil/Sodinokibi mehrere Schwachstellen im Produkt Kaseya VSA aus, um einen Ransomware-Verschlüsseler an damit verbundene Endpunkte zu verteilen. Es ist die höchste Lösegeldforderung in der Geschichte. Ein Kommentar von Charles Carmakal, SVP and CTO, Mandiant.

Kaseya VSA ist eine Lösung zur Fernüberwachung- und -verwaltung, die von Managed Service Providern (MSPs) und Unternehmen zur Fernverwaltung von Computersystemen eingesetzt wird. Die Anzahl der von der REvil-Ransomware-Störung betroffenen Organisationen ist derzeit nicht bekannt, aber Kaseya schätzt, dass die Fallzahl unter 1.500 liegt. Bei vielen der betroffenen Unternehmen handelt es sich um sehr kleine Familienbetriebe, die aufgrund des Feiertagswochenendes in den USA erst spät von den Auswirkungen erfahren haben.

REvil Ransomware-as-a-Service (RaaS)

REvil Ransomware-as-a-Service (RaaS) wurde seit Mai 2019 in russischsprachigen Untergrundforen beworben. Beim RaaS-Geschäftsmodell entwickelt eine zentrale Gruppe die Ransomware, kommuniziert mit den Opfern und betreibt die Backend-Infrastruktur. Partner oder angeschlossene Gruppen führen die Angriffe durch und verbreiten die Ransomware. Die RaaS wird von dem Hacker „UNKN“ (auch bekannt als „Unknown“) betrieben, der keine englischsprachigen Partner akzeptiert und den Partnern nicht erlaubt, GUS-Länder, einschließlich der Ukraine, anzugreifen. Die bekannten Anwender sind russischsprachig, doch es ist wahrscheinlich, dass einige der Beteiligten nicht physisch in Russland ansässig sind. Nach dem Colonial-Pipeline-Angriff bemühte sich UNKN, die Ziele der REvil-Anwender einzuschränken und bestand darauf, die Ziele vor dem Verteilen der Ransomware zu überprüfen.

REvil fordert 70 Millionen Dollar Lösegeld

Charles Carmakal, SVP and CTO, Mandiant (Bild: FireEye)

REvil übernahm die Verantwortung für den Angriff am Abend des 4. Juli und behauptete, mehr als eine Millionen Systeme getroffen zu haben. Sie fordern 70 Millionen US-Dollar für einen universellen Entschlüsselungscode, mit dem jedes betroffene System entsperrt werden kann. Diese exorbitante Summe ist die höchste in der Geschichte. In privaten Gesprächen hat REvil seine Forderungen proaktiv gesenkt. Zudem sind sie dafür bekannt, den Umfang und die Auswirkungen ihrer Angriffe zu überspitzen. Darüber hinaus hat REvil bisher keine Daten aus den Infiltrierungen veröffentlicht. Eine Methode, die sie oft anwenden, um ihre Opfer zu einer Zahlung zu zwingen. Solange Kriminelle Lösegelder in zweistelliger Millionenhöhe fordern können und ihnen keine Gefängnisstrafe droht, wird sich dieses Problem weiter verschärfen. Diese Gruppen sind gut finanziert und hoch motiviert und nur ein entschlossenes, gemeinschaftliches Vorgehen wird das Blatt wenden können.

Mehr bei FireEye.com

 


Über Trellix

Trellix ist ein globales Unternehmen, das die Zukunft der Cybersicherheit neu definiert. Die offene und native XDR-Plattform (Extended Detection and Response) des Unternehmens hilft Unternehmen, die mit den fortschrittlichsten Bedrohungen von heute konfrontiert sind, Vertrauen in den Schutz und die Ausfallsicherheit ihrer Betriebsabläufe zu gewinnen. Die Sicherheitsexperten von Trellix beschleunigen zusammen mit einem umfangreichen Partner-Ökosystem technologische Innovationen durch maschinelles Lernen und Automatisierung, um über 40.000 Geschäfts- und Regierungskunden zu unterstützen.


 

Passende Artikel zum Thema

Webinar 17. September: NIS2 rechtskonform umsetzen

NIS2 Deep Dive: In einem kostenlosen, deutschsprachigem Webinar am 17. September ab 10 Uhr klärt ein Rechtsanwalt auf, wie Unternehmen ➡ Weiterlesen

Ransomware: Überdurchschnittlich viele Angriffe im Bildungssektor

Die Zahl kompromittierter Backups sowie die Datenverschlüsselungsraten durch Ransomware im Bildungssektor sind im Vergleich zum Vorjahr gestiegen. Die Wiederherstellungskosten nach ➡ Weiterlesen

Schwachstelle in der Google Cloud Platform (GCP)

Ein Unternehmen für Exposure Management, gibt bekannt, dass das Research Team eine Schwachstelle in der Google Cloud Platform (GCP) identifiziert ➡ Weiterlesen

NIST-Standards zur Quantum-Sicherheit

Die Veröffentlichung der Post-Quantum-Standards durch das National Institute of Standards and Technology (NIST) markiert einen entscheidenden Fortschritt in der Absicherung ➡ Weiterlesen

Cisco-Lizenzierungstool mit kritischen 9.8 Schwachstellen

Cisco meldet kritische Schwachstellen in der Cisco Smart Licensing Utility die einen CVSS Score 9.8 von 10 erreichen. Diese Schwachstellen ➡ Weiterlesen

Ransomware-Attacken: 6 von 10 Unternehmen angegriffen

Die Bitkom hat mehr als 1.000 Unternehmen in Deutschland befragt: Mehr als die Hälfte der Unternehmen werden Opfer von Ransomware-Attacken ➡ Weiterlesen

Zyxel Firewalls mit hochgefährlichen Sicherheitslücken

Zyxel hat 7 Patches veröffentlicht, die mehrere Schwachstellen in einigen Firewall-Versionen beheben. Benutzern wird empfohlen, die Patches für optimalen Schutz ➡ Weiterlesen

30 Prozent mehr Ransomware-Angriffe in Deutschland

In seinem diesjährigen State of Ransomware-Report „ThreatDown 2024 State of Ransomware“ zeigt Malwarebytes einen alarmierenden Anstieg von Ransomware-Angriffen im vergangenen ➡ Weiterlesen