REvil Threat Actor Group führt zwei neue Angriffe durch
Berichten zufolge scheint die Ransomware-Akteursgruppe REvil zwei neue erfolgreiche Angriffe durchgeführt zu haben. Das erste der beiden jüngsten Opfer der Hacker ist ein Modeunternehmen namens French Connection, das seine Produkte unter dem frechen FCUK-Branding vertreibt, da es seinen Sitz in Großbritannien hat. Das zweite Opfer befindet sich in Südamerika und ist ein brasilianisches Medizinunternehmen namens Grupo Fleury.
REvil, die auch die berüchtigte Ransomware Sodinokibi betreibt, die seit einigen Jahren im Umlauf ist, hat die Backend-Server von French Connection durchbrochen und personenbezogene Daten der hochrangigen Führungskräfte des Unternehmens exfiltriert.
Threatpost berichtete über den Vorfall, zitierte die britische Veröffentlichung The Register und teilte mit, dass die Führungskräfte von French Connection ihre Personalausweis-Scans von den Hackern als Beweis für ihren erfolgreichen Angriff anzeigen ließen.
French Connection veröffentlichte eine Erklärung, in der über den Einbruch informiert wurde, und sagte auch, dass das Unternehmen „keine Beweise“ dafür habe, dass die böswilligen Akteure auf Kundeninformationen zugreifen konnten. Wie erwartet trennte das Unternehmen betroffene Systeme sofort vom größeren Netzwerk, als es von der Sicherheitsverletzung erfuhr, und beauftragte dann externe Hilfe, um die Situation zu beheben.
Der Angriff auf das brasilianische Medizinunternehmen ereignete sich am 22. Juni und am nächsten Tag gaben sie an, dass sie immer noch an der Wiederherstellung des normalen Betriebs arbeiten. Die Erklärung zu dem Angriff wurde von einer Online-Publikation in Rio de Janeiro zur Verfügung gestellt.
Der Angriff auf das Medizinunternehmen ist leicht zu erklären, denn wenn es den Hackern gelang, Patientendaten und Testergebnisse in die Finger zu bekommen, könnten sie leicht Geld erpressen, um es nicht online zu veröffentlichen. Interessanter ist die Situation bei French Connection. Es scheint hier keine große Lösegeldforderung gegeben zu haben oder zumindest nicht wahrscheinlich, wenn man bedenkt, was die Hacker als Beweis für ihren Angriff vorlegen wollten. Interessant ist die Verschiebung hin zu hochrangigen Personen und nicht zu den Unternehmensdatenbanken eines Unternehmens.
Threatpost zitierte außerdem den Sicherheitsexperten Dirk Schrader und brachte einen sehr interessanten neuen Begriff zur Sprache – „Ransomware-Müdigkeit“. Die Folge war, dass diese Art von Ransomware-Angriff so häufig geworden ist und die Ankündigungen eines weiteren Opfers von REvil, der DarkSide-Gruppe oder einer anderen Gruppe von Bedrohungsakteuren so häufig geworden sind, dass sowohl Unternehmen als auch die IT-Sicherheitsgemeinschaft langsam apathisch werden es alles.
