Microsoft Exchange-Exploit ein möglicher Faktor bei 50-Millionen-Dollar-Ransomware-Angriff auf Acer

Cyber Security News

Im Bild: ein Messestand von Acer auf der COMPUTEX Taipei, oder der Taipei International Information Technology Show. (Quintin Lin, CC BY-SA 2.0 https://creativecommons.org/licenses/by-sa/2.0, via Wikimedia Commons)

Sicherheitsforscher reagierten am Montag auf die Nachricht des REvil-Ransomware-Angriffs auf den Computer- und Elektronikhersteller Acer Ende letzter Woche. Die meisten äußerten sich schockiert über den Preis von 50 Millionen Dollar und rieten dem Computerhersteller, nicht zu zahlen.

Der Vorfall wurde zuerst in BleepingComputer. berichtet, die sagte, dass die REvil cyberkriminelle Bande (auch bekannt als Sodinokibi) bekannt gab, dass sie Acer durchbrochen hatte und einige Bilder von angeblich gestohlenen Dateien als Beweis teilte. Die durchgesickerten Bilder bestehen aus Dokumenten, die Finanztabellen, Bankbilanzen und Bankkommunikation enthalten.

Ein angebliches Leck der Lösegeldforderung zeigte, dass Acer bis zum 28. März Zeit hat, das Lösegeld in Höhe von 50 Millionen US-Dollar zu zahlen. Wenn das Lösegeld bis zu diesem Datum nicht gezahlt wird, verdoppelt sich das Lösegeld offenbar auf 100 Millionen Dollar.

Acer hat immer noch nicht bestätigt, dass es das Ziel eines Ransomware-Angriffs war, und die Bemühungen, das Unternehmen heute zu erreichen, waren erfolglos. Das Unternehmen hat auch nicht bestätigt, dass REvil den Ransomware-Angriff über einen seiner Microsoft Exchange-Server ausgeführt hat, wie es Vitali Kremez, CEO von Advanced Intel, behauptet hat. Allerdings äußerten sich mehrere Cyber-Vordenker zu dieser Möglichkeit und dem möglichen Zusammenhang mit einer Reihe von Exchange-Schwachstellen, die von mehreren Akteuren ausgenutzt wurden.

“Der Schritt von REvil, Exchange gegen große Ziele auszunutzen, macht Sinn, da diese Schwachstellen so einfach auszunutzen sind und den anfänglichen Zugang bieten, den Ransomware-Akteure benötigen”, sagte Chad Anderson, Senior Security Researcher bei DomainTools. “Dennoch ist diese Lösegeldforderung besonders hoch und für REvil-Affiliates nicht akzeptabel. Wie immer würden wir Acer ermutigen, das Lösegeld nicht zu zahlen, trotz der Beweise für private Finanzdokumente auf der REvil-Leaks-Seite.”

Oliver Tavakoli, CTO bei Vectra, sagte, es sei zu erwarten, dass die kürzlich bekannt gewordenen Schwachstellen in Microsoft Exchange Server, die unter dem Namen ProxyLogon bekannt sind, in den kommenden Wochen und Monaten weiterhin von einer Reihe von Akteuren mit unterschiedlichen Zielen ausgenutzt werden.

“Gezielte Ransomware-Akteure wie REvil werden dies als besonderen Segen sehen, da die vielen maßgeschneiderten Schritte eines Angriffs (Infiltration, Erkundung, Zugriff auf wertvolle Daten) mit einem direkten Angriff auf den Exchange-Server einer Organisation kurzgeschlossen werden können”, so Tavakoli. “Die Höhe der Lösegeldforderung kommt daher, dass die Bedrohungsakteure den Markt mit einem phantastischen Eröffnungsgambit testen – ich würde vermuten, dass Acer entweder kein Lösegeld zahlen oder einen deutlich reduzierten Betrag aushandeln würde.”

Ivan Righi, Cyber Threat Intelligence Analyst bei Digital Shadows, sagte, dass die Ransomware-Gruppe REvil für ihre hohen Geldforderungen bekannt geworden ist. Ein aktuelles Beispiel ist das Lösegeld von 30 Millionen Dollar, das sie im Februar 2021 von Dairy Farm zu erpressen versuchte. Righi sagte, es sei nicht bekannt, ob eines der REvil-Opfer diese exorbitanten Forderungen gezahlt hat, obwohl dies unwahrscheinlich ist.

“Die hohe Forderung deutet darauf hin, dass REvil wahrscheinlich Informationen exfiltriert hat, die höchst vertraulich sind, oder Informationen, die verwendet werden könnten, um Cyber-Angriffe auf Kunden von Acer zu starten”, sagte Righi.

Jeff Barker, Vice President of Product Marketing bei Illusive, fügte hinzu, dass die jüngsten hochkarätigen Angriffe, einschließlich des Angriffs auf Acer, zeigen, dass jedes Unternehmen eine “Kompromissannahme”-Sicherheitshaltung einnehmen und sicherstellen muss, dass es angemessene Maßnahmen ergreift, um das Risiko zu verringern, dass Angreifer sich seitlich bewegen können, ohne entdeckt zu werden. “Wir empfehlen Unternehmen, das Ransomware-Risiko für ihre aktuelle Umgebung zu bewerten und Maßnahmen zu ergreifen, um die unnötigen Informationen über Anmeldedaten, Verbindungen und Pfade zu beseitigen, die den Angreifern die Erkundung und Bewegung zu leicht machen”, so Barker. “Gefährdete Unternehmen würden von der Vorbereitung und Durchführung einer vierstufigen ‘Shake the Tree’-Übung zur Hygiene und Erkennung von Seitenbewegungen profitieren: Bewerten und Verbessern der Hygiene von Anmeldeinformationen und Pfaden; Sicherstellen, dass die Strategie zur Erkennung von Seitenbewegungen und die erforderlichen Kontrollen ordnungsgemäß funktionieren; Zurücksetzen von Passwörtern für privilegierte Konten; und Überwachen von Seitenbewegungen, um die Ausbreitung von Angreifern in der Umgebung zu erkennen.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com