REvil’s Big Apple Ransomware Gambit scheint sich auszuzahlen

Cyber Security News

Die berüchtigte Cybercrime-Bande könnte sich ausrechnen, ob Apple das 50-Millionen-Dollar-Lösegeld wie gefordert bis zum 1. Mai zahlt oder nicht.

Die Ransomware-Bande REvil ist bekannt für ihre dreisten Angriffe auf die größten Unternehmen der Welt und die damit verbundenen Forderungen nach astronomischen Lösegeldern. Aber der jüngste Angriff der Bande auf Apple, nur wenige Stunden vor der spektakulären Markteinführung eines neuen Produkts, war selbst für die berüchtigte Ransomware-as-a-Service-Bande ein gewagter Schritt.

Der ursprüngliche Angriff richtete sich gegen Quanta, einen Global Fortune 500 Hersteller von Elektronik, der Apple zu seinen Kunden zählt. Das in Taiwan ansässige Unternehmen wurde beauftragt, Apple-Produkte wie die Apple Watch, das Apple Macbook Air und Pro sowie das ThinkPad anhand eines von Apple zur Verfügung gestellten Satzes von Design-Schemata zusammenzubauen.

REvil war in der Lage, in die Server von Quanta einzudringen, die Dateien zu stehlen und Lösegeld zu verlangen. Dies geht aus einer Erklärung hervor, die auf der Dark-Web-Site des Unternehmens – dem “Happy Blog” – veröffentlicht wurde und in der es heißt, dass Quanta sich weigerte, das ursprüngliche Lösegeld für den Angriff zu zahlen. Als Quanta sich weigerte, für die Rückgabe der Dateien zu zahlen, begann REvil, eine Reihe von Blaupausen für einige Produkte zu veröffentlichen, um den Druck zu erhöhen.

In einem zusätzlichen Schlag von kriminellem Einfallsreichtum, um den Druck zu erhöhen, beschloss REvil, die geraubten Dateien nur wenige Stunden vor Apples Spring Loaded Event am Dienstag zu veröffentlichen, einschließlich der Baupläne für einige neue iMacs, die dort vorgestellt wurden. Das Unternehmen stellte auf der Veranstaltung eine Reihe neuer Produkte vor.

“Um nicht auf die kommenden Apple-Präsentationen zu warten, werden wir, die REvil-Gruppe, heute Daten zu den kommenden Veröffentlichungen des von vielen so geliebten Unternehmens zur Verfügung stellen”, heißt es in einem Blogbeitrag von REvil, der Bericht. “Tim Cook kann sich bei Quanta bedanken. Von unserer Seite wurde viel Zeit in die Lösung dieses Problems gesteckt.”

Diese Veranstaltungen, die früher von Apple-Gründer Steve Jobs geleitet wurden, sind zu einem festen Bestandteil der Marke geworden und werden mit großem Rummel und Fanfare aus Cupertino präsentiert.

Jetzt sagte REvil, dass es bis zum 1. Mai 50 Millionen Dollar von Apple will, um die Dateien zurückzugeben. In der Tat ist REvil nicht dafür bekannt, herumzualbern; wenn die Gruppe sagt, dass sie Dokumente von Opfern hat und sie veröffentlichen wird, wird sie in der Regel, angesichts früherer Erfahrungen.

“Die REvil-Ransomware-Bande macht keine falschen Versprechungen”, bemerkte Ivan Pittaluga, CTO der Unternehmenssicherheitsfirma ArcServe, in einer E-Mail an Threatpost. “Sie sind dafür bekannt, dass sie Daten durchsickern lassen, wenn ihre Forderungen nicht erfüllt werden.”

Maximaler Druck von REvil auf Apple

REvil hat die Bedeutung des Zeitpunkts des Lecks klar verstanden. Recorded Future sagte, dass jemand, der behauptet, der Sprecher der Gruppe zu sein, letzten Sonntag in einem Forum angedeutet hat, dass die Gruppe sich auf ihren “lautesten Angriff aller Zeiten” vorbereitet.

Sie haben geliefert.

Und REvil wächst definitiv. Letzten Herbst sagte die Person, die behauptet, der Leiter der Gruppe zu sein, dass sie erwartet, bis Ende 2020 100 Millionen Dollar zu verdienen. Mit einer Frist bis zum 1. Mai, bis zu der Apple 50 Millionen Dollar zahlen muss, sieht es so aus, als ob die Einsätze erheblich erhöht wurden.

REvil betreibt ein Ransomware-as-a-Service-Geschäft, das anderen “Affiliates”, die sich um die technischen Details des Angriffs kümmern, materielle Unterstützung bietet. Die REvil-Partner erhalten 70 bis 80 Prozent des Lösegelds. Die Affiliate-Partner müssen sich um die Erstinfektion, das Löschen von Backups und die Exfiltration der Dateien kümmern. REvil kümmert sich um die Lösegeldverhandlungen, die Bezahlung, die Lieferung des Verschlüsslers und entwickelt die Software, erklärte der REvil-Chef im letzten Herbst.

Der Anführer von REvil kündigte in dem im letzten Herbst veröffentlichten Interview auch einen “kommenden großen Angriff… in Verbindung mit einem sehr großen Videospielentwickler” an.

Eine internationale Schlagzeile gegen Apple wäre genau die Art von Sache, die andere Möchtegern-Ransomware-Angreifer dazu bringen könnte, sich mit REvil zusammenzutun, dessen Konzeptnachweis überall in den Nachrichten zu finden ist. Es ist nicht nur wahrscheinlich, dass dies ein großer Zahltag ist, sondern der Angriff auf Apple wird auch ein Werbecoup für die Marke Apple sein.

“Die jüngsten Angriffe zeigen, dass REvil seinen Ansatz, Unternehmen mit Leichtigkeit um große Geldbeträge zu erpressen, perfektioniert hat”, so Chandra Basavanna, CEO der Endpunkt-Sicherheitsfirma SecPod in einer E-Mail an Threatpost.

Letzten Monat behauptete REvil, das sich in letzter Zeit in einem Angriffsrausch befand, neun Organisationen in Afrika, Europa, Mexiko und den Vereinigten Staaten getroffen zu haben. Viele der Dokumente, die die Gruppe bei den Angriffen gestohlen haben will, erwiesen sich bei der Überprüfung als authentisch, so diejenigen, die die Dokumente gesehen haben.

Die Forderung an Apple ist auch nicht das erste Mal, dass REvil eine so hohe Summe von einem führenden Technologieunternehmen verlangt. Letzten Monat forderte die Gruppe 50 Millionen Dollar Lösegeld vom Computerhersteller Acer.

Selbst wenn Apple nicht zahlt, könnte der Cyberangriff zu guten finanziellen Dingen für REvil führen.

“Quanta war wahrscheinlich ein Gelegenheitsziel und wurde wahrscheinlich nicht verfolgt, weil es ein hohes Lösegeld zahlen würde, sondern weil es vertrauliche Daten vieler seiner Kunden besaß und diese Kunden für Lösegeld erpresst werden konnten”, sagte Oliver Tavakoli, CTO bei Vectra, gegenüber Threatpost über die möglichen Beweggründe von REvil. “Nachdem die Daten von Quanta Computer extrahiert worden waren, wurden sie wahrscheinlich im Hinblick auf ihren potenziellen Wert klassifiziert und es wurde geprüft, ob günstige Termine im Kalender standen, die den Druck auf das Zielunternehmen erhöhen würden, zu zahlen. Apple erfüllte das Kriterium der tiefen Taschen plus ein bevorstehendes Datum der Produkteinführung.”

Wachsende Spannungen zwischen den USA und Russland waren wahrscheinlich ein Nebeneffekt, fügte Tavakoli hinzu.

Tense U.S.-Russland Beziehungen, eine Ransomware Hintergrund

Die mögliche Verbindung von Ransomware mit der russischen Regierung und der öffentlichkeitswirksame Angriff auf Amerikas größtes Tech-Unternehmen sollte laut Lior Div, CEO von Cybereason, als ein weiterer Akt der Aggression von Wladimir Putin betrachtet werden, um ein Signal an die neue Biden-Administration zu senden.

“Dieser Angriff ist eine direkte Herausforderung für die Biden-Administration von Russland”, sagte Div in einer Erklärung, die Threatpost zur Verfügung gestellt wurde. “Wenn der größte US-Lieferant von Verbrauchertechnologie und -produkten von dieser Art von Angriff betroffen ist, ist die Botschaft Russlands an westliche Unternehmen und Regierungen laut und deutlich: Wir können euch kontrollieren.”

Apples Angriff folgt auf den katastrophalen Einbruch bei Solar Winds, der von der US-Regierung den von Russland unterstützten nationalstaatlichen Akteuren zugeschrieben wird, wie er betonte.

“Russland sagt den Vereinigten Staaten, dass es unsere Blaupausen und unser geistiges Eigentum stehlen kann – und dass diese Art von Angriffen größer als je zuvor mit höheren Lösegeldforderungen weitergehen wird”, fügte Div hinzu. “Putin wird die Ausrede der plausiblen Bestreitbarkeit verwenden und behaupten, dass die mit dem Angriff verbundene Hackergruppe nicht mit Moskau verbunden ist.”

Als ob fast auf Stichwort, das US-Justizministerium kündigte am 21. April, der Tag nach der Apple-Leaks, dass es eine neue Ransomware Task Force, die auf “Takedowns von Servern verwendet, um Ransomware, um Beschlagnahmungen dieser kriminellen Unternehmen unrechtmäßigen Gewinne zu verbreiten konzentrieren wird,” nach Acting Deputy Attorney General John Carlin, der in einem Memo schrieb den Schritt ankündigen.

Aber es ist unklar, wie erfolgreich diese Bemühungen gegen Gruppen wie REvil sein würde.

Der Analyst von Digital Shadows und Experte für russischsprachige Untergrundforen, Austin Merritt, erklärte kürzlich während einer Threatpost-Veranstaltung am runden Tisch, dass, selbst wenn es keine direkte staatliche Unterstützung gibt, es eine Vereinbarung zwischen diesen Bedrohungsakteuren innerhalb Russlands, wie REvil, gibt, dass sie ihre Operationen vom Land aus durchführen können, aber ihre Angriffe außerhalb der russischen Grenzen richten müssen. Er fügte hinzu, dass diese Gruppen ungestraft gegen den Westen agieren können, ohne Angst vor Strafverfolgung oder Auslieferung, so dass sie frei sind, ihre Operationen zu erweitern.

Merritt fügte hinzu, dass Emotet nur dank der Koordination mit der Ukraine ausgeschaltet werden konnte, die nicht nur über eine eigene Task Force für Cyberkriminalität verfügt, sondern auch die Durchsetzung mit dem Westen koordiniert.

“Ich habe es mir zur Aufgabe gemacht, nicht zu raten, was in Putins Kopf vorgeht – aber die Tatsache, dass es zu angespannten Beziehungen zwischen den Regierungen Biden und Putin kommen würde, war leicht vorherzusehen, und jede Seite wird wahrscheinlich ihre breite Palette an Drucktaktiken einsetzen, die knapp vor einer militärischen Konfrontation stehen,” sagte Tavakoli per E-Mail.

Unabhängig von den Beweggründen erklärte Dirk Schrader von New Net Technologies gegenüber Threatpost, dass das Ausmaß des Schadens, der durch Ransomware angerichtet wird und der seiner Meinung nach allein im Jahr 2021 20 Milliarden Dollar übersteigen wird, das Stoppen dieser Angriffe zu einer Top-Priorität machen sollte.

“Die immer größer werdende Abhängigkeit von digitaler Technologie wird dies und die Auswirkungen, die jeder Ransomware-Fall auf die Gesellschaft hat, weiter verstärken”, sagte Schrader. “Staatlich gesponserte Cybercrime-Akteure oder solche, die eine Vorliebe für eine bestimmte Regierung oder ein bestimmtes Regime haben, werden ihre wachsende Macht nutzen, um eine bestimmte politische Position dieses Regimes zu ‘unterstützen’. Die Bewältigung dieses Komplexes sollte eine vorrangige Aufgabe für jede Regierung sein, wobei die Schwierigkeit darin besteht, die richtige Kombination aus Durchsetzung und Ermutigung zu finden, da Cybersicherheit von vielen immer noch als Kostenfaktor und nicht als Befähiger für die Widerstandsfähigkeit von Unternehmen gesehen wird.”

Pittaluga von ArcServe bezeichnete den Angriff auf Quanta und die anschließende Lösegeldforderung an Apple als “abschreckendes Beispiel” für andere Unternehmen, die zwar selbst über gut gesicherte Netzwerke verfügen, aber von Fehlern in der Lieferkette betroffen sein können.

“Um ein ähnliches Schicksal zu vermeiden, sollten Unternehmen aktiv alle Schwachstellen in ihrem Netzwerk patchen, häufig Daten an einem separaten Ort außerhalb des Unternehmens oder in der Cloud sichern und kontinuierlich Bedrohungsanalysen durchführen”, riet er.

Elizabeth Montalbano hat zu diesem Bericht beigetragen.

Einige Teile dieses Artikels stammen aus:
threatpost.com