REvil Supply Chain Ransomware-Angriff trifft 200 US-Unternehmen

Die als REvil bekannte und für ihre Ransomware-Aktivitäten berüchtigte Cyberkriminelle hat Ende letzter Woche einen weiteren erfolgreichen Angriff in beunruhigendem Ausmaß durchgeführt.

Sicherheitsforscher von Huntress Labs gaben an, dass sie glauben, dass der Angriff, von dem mindestens zweihundert US-Unternehmen betroffen waren, das Werk der REvil-Cybergang ist. Diesmal haben die Hacker nicht daran gearbeitet, das Netzwerk jedes Unternehmens einzeln zu infiltrieren.

Stattdessen führten sie einen sogenannten „Supply-Chain-Angriff“ durch. REvil hat einen legitimen Softwarelieferanten namens Kaseya missbraucht. Kaseya liefert Produkte und Dienstleistungen für Netzwerkmanagement und IT-Infrastruktur an eine große Anzahl von Kunden, von durchschnittlichen Unternehmen bis hin zu großen Unternehmen.

Kaseya gab natürlich eine offizielle Erklärung heraus und warnte Serverbesitzer, alle Server herunterzufahren, auf denen das Softwarepaket läuft, das REvil als Mittelsmann für die Ausführung des Angriffs verwendet hat. Als Reaktion auf die REvil-Aktivitäten hat das Unternehmen auch seine eigene Software-as-a-Service-Plattform geschlossen.

Während Kaseya ursprünglich beabsichtigte, sein SaaS am frühen Morgen des 7. Juli wieder online zu bringen, berichtete The Register heute, dass sich der Prozess um "mindestens zehn Stunden" verzögert habe.

Die Ransomware-Bande REvil forderte ein Lösegeld in Höhe von 70 Millionen US-Dollar. Die Nachfrage mag lächerlich erscheinen, da JBS, Amerikas größter Fleischlieferant, vor etwa einem Monat von REvil getroffen wurde und bei diesem Angriff die Lösegeldforderung 11 Millionen Dollar betrug. Der Haken dabei ist, dass REvil bei diesem neuen Vorfall durch einen Lieferkettenangriff Hunderte von Unternehmen betroffen hat, nicht nur in den USA, sondern auf der ganzen Welt.

Nicht nur interne Unternehmensnetzwerke, sondern auch Schulen und Supermärkte wurden hängen gelassen. Reuters berichtete, dass die schwedische Supermarktkette Coop als Sicherheit für denselben Angriff gezwungen war, die Türen von 800 ihrer Geschäfte zu schließen, da die mit dem Internet verbundenen Registrierkassen einfach nicht funktionierten.

Yahoo News zitierte den Sicherheitsexperten Brett Callow, der behauptete, dass es zwar Ransomware-Angriffe gegeben habe, bei denen ähnliche Angriffsmethoden auf die Lieferkette zum Einsatz kamen, diese aber alle „ziemlich geringfügig“ im Vergleich zum Umfang des letzten REvil-Jobs seien.

Der Zeitpunkt des Angriffs scheint ebenfalls vorsätzlich festgelegt worden zu sein, da er mit den Feiertagen am 4. Juli am Wochenende in den USA zusammenfiel, was eine schnelle Reaktion auf die Bedrohung schwieriger als üblich machte.