?>
Update: REvil ist zurück
Author
Robin Laufenburg, Mi, 7. Jul. 2021
in Für Firmenkunden

Update: REvil ist zurück

Kriminelle forderten 70 Millionen US-Dollar Lösegeld

Aktualisiert am 04.05.2022

Die aktuelle Ransomware-Attacke der global bekannten Erpressergruppe REvil ist eine der bisher größten Erpresserangriffe überhaupt. Nachweislich betroffen sind weltweit mehr als 1.000 Unternehmen aller Größen und Branchen – nach Angaben der Cyberkriminellen wurden über eine Millionen Systeme infiltriert.

Alles Wichtigste rund um den Erpresserangriff von REvil erfahren Sie hier!

Angriff über Update von Kaseya-Software

Vergangenen Freitag (2. Juli 2021) fand einer der bisher größten Internet-Diebstähle statt. Die russische Erpressergruppe REvil (auch bekannt als Sodinokibi und Pinchy Spider) nutzte nämlich eine Schwachstelle in der Wartungssoftware VSA des IT-Dienstleisters Kaseya aus, um über ein automatisiertes Update auf sämtliche betreute Geräte zu gelangen. Der Hersteller bat seine Kunden, die Firmenserver auszuschalten und schaltete seine Cloud-Dienste temporär ab. Zwar sind nach eigenen Angaben nur circa 40 Kaseya-Kunden von dem Angriff betroffen, jedoch agieren einige von ihnen abermals als IT-Dienstleister. Auf diese Weise hat REvil die Systeme von über 1.000 Firmen auf Endkundenbasis gekapert.

REvil selbst spricht von Millionen Systemen, die mit der aktuellen Erpresserwelle verschlüsselt wurden. Die professionell agierende Hackergruppe war vor Kurzem erst wegen eines Hacks auf den weltweit größten Fleischkonzern JBS in den Nachrichten. Das Weltunternehmen zahlte den Hackern angeblich elf  Millionen US-Dollar als Lösegeld.

REvil

REvil nimmt Daten von zahlreichen Unternehmen als Geisel. Bild: Pexels/MikhailNilov

Opfer der REvil-Attacke

Kaseya betreut weltweit mehr als 36.000 Unternehmen, von denen viele wiederum selbst kleinere Firmen betreuen. Mit der Wartungssoftware VSA rollen IT-Dienstleister automatisierte Softwareaktualisierungen in Firmennetzwerken aus. Auf diese Weise sind die Hacker von REvil über VSA-Installationen in die Systeme von mehr als 1.000 Unternehmen gelangt und haben mit einer Ransomware sensible Firmendaten verschlüsselt.

Die schwedische Supermarktkette Coop musste am Wochenende circa 800 Filialen schließen, weil das Kassensystem durch die Ransomware ausgefallen war und der Geschäftsalltag somit unmöglich war. Auch andere Firmen haben mit dem Angriff zu kämpfen. Die Unternehmen verschiedenster Branchen und Größen sind dabei übrigens auf zwölf Länder weltweit verteilt. Laut Sophos gehören aber auch verschiedene deutsche Unternehmen zu den Opfern, die mit der Ransomware infiltriert wurden.

Jedoch sind nach bisherigem Kenntnisstand keine russischen oder osteuropäischen Firmen unter den Opfern. Grund dafür ist wohl, dass die Schadsoftware die Systemsprache prüft und kyrillisch eingestellte Systeme nicht befällt. Wahrscheinlich ist der Angriff also wirtschaftlicher Natur. US-Präsident Joe Biden hat diese Mutmaßung bisher jedoch nicht ausdrücklich bestätigt. Er ordnete aber bereits eine Untersuchung der Angriffe durch die US-Geheimdienste an.

Lösegeldforderung von REvil

Was außer Frage steht, ist, dass REvil einen gigantischen wirtschaftlichen Schaden auslöst. Dennoch versichert Kaseya, die Schwachstelle bereits gefunden zu haben und sie derzeit zu schließen. Der Softwareentwickler wurde im Jahr 2019 übrigens schon einmal Opfer einer Cyberattacke.

Derweil fordert die Erpressergruppe REvil, die sich im Darknet zum Angriff bekannt hat, von jedem Unternehmen gegen Freigabe der sensiblen Unternehmensdaten eines einzigen Systems 45.000 US-Dollar Lösegeld, ausgezahlt in der Kryptowährung Bitcoin. Das wären bei einer Million Systeme, so viele Unternehmen will REvil nämlich nach eigenen Angaben gekapert haben, immerhin 45 Milliarden Dollar. Alternativ bietet REvil einen Generalschlüssel gegen eine Lösegeldzahlung von 70 Millionen US-Dollar an, mit der die Daten aller betroffenen Unternehmen befreit werden könnten.

Lösegeldforderung von REvil

REvil stellt eine beachtliche Lösegeldforderung für die Herausgabe der Firmendaten. Bild: Pexels/Pixabay

Schutz vor Ransomware

Als Reaktion auf den Ransomware-Angriff fordert der deutsche Industrieverband BDI eine nationale Wirtschaftsschutzstrategie. Gegenüber der Welt am Sonntag äußerte Matthias Wachter, Leiter der Abteilung Sicherheit beim BDI: „Noch nie wurde die deutsche Wirtschaft so stark angegriffen wie heute.“ Phänomene wie Ransomware-as-a-Service (RaaS), durch die Ransomware-Angriffe immer häufiger werden, fördern diese Entwicklung.

Sie denken, dass Sie von Ransomware-Attacken verschont bleiben? Leider können Sie das nicht wissen. Denn immer häufiger werden vor allem kleine Firmen, Selbstständige und Startups Opfer von digitaler Erpressung. Leider gibt es, wie man am aktuellen Beispiel sehen kann, dabei aber kaum eine Möglichkeit, Cybercrime-Angriffe wie Ransomware-Attacken komplett zu verhindern. Sind Sie Opfer von dieser oder einer anderen Angriffswelle von REvil oder anderen Erpressern geworden? Dann sollten Sie auf jeden Fall versuchen, Ruhe zu bewahren, und auf keinen Fall die Lösegeldforderung vorschnell erfüllen.

Auch ist es durchaus sinnvoll, dass jedes Unternehmen ohne eigene IT-Abteilung zumindest einen IT-Verantwortlichen hat. Natürlich kann diese wichtige Rolle auch an die professionellen, externen IT-Beauftragten von PC-SPEZIALIST abgegeben werden. Dank des IT-Basisschutz, den es je nach Anforderung auf konkrete Wünsche und Bedürfnisse zugeschnittene Pakete gibt, können Sie Ihrer täglichen Arbeit ganz unbesorgt nachgehen. PC-SPEZIALIST vor Ort kümmert sich um Ihre Firmen-IT.

Update, 05.04.2022: REvil ist zurück

Der Trojaner REvil ist zurück. Und mit ihm vermutlich auch die berüchtigte Hackergruppe, die auch unter dem Namen Sodinokibi-Gang bekannt ist. Allerdings: Der Trojaner ist in einer neuen Version in Umlauf. Aktuell soll er noch keine Daten verschlüsseln oder erbeuten.

Nachdem Mitglieder der Hackergruppe im vergangenen Jahr festgenommen und die Webseite offline genommen werden konnte, ist die Webseite bereits seit April dieses Jahres wieder online. Unklar ist, ob die ursprünglichen Hintermänner erneut aktiv sind oder ob es sich um neue Akteure handelt. Aber: Es sollen zumindest einige Gründer von REvil beteiligt sein, da der Quellcode des Schädlings identisch ist und auf der Webseite weiterhin mit „Sodinokibi“ geworben wird.

Auch wenn aktuell noch keine Gefahr von zurück gekehrten Trojaner ausgeht, so kann es sich nur um eine Frage der Zeit handeln, bis die Gruppe erneut E-Mail mit gefährlichen Links und Anhängen versendet, die auf Erpressungsversuche abzielen. Deshalb unsere Warnung: Öffnen sie keine Anhänge und klicken Sie nicht auf Links, wenn Ihnen unbekannte Personen versuchen, Sie zu konotaktieren.

_______________________________________________

Weiterführende Links: IT-BUSINESS, heise online, Die Zeit, Die Zeit, Frankfurter Allgemeine Zeitung, golem.de, DER SPIEGEL, DER SPIEGEL, ntv

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.

0 Kommentare