REvil Group fordert 70 Millionen Dollar für ‘Universal Decryptor’

  • Die Gruppe, die hinter der lähmenden Supply-Chain-Ransomware-Attacke auf ein US-Softwareunternehmen steckt, hat Berichten zufolge 70 Millionen Dollar als Gegenleistung für einen “universellen” Entschlüsselungsschlüssel gefordert, während Forscher behaupten, dass es weltweit Tausende von Opfern geben könnte.

    Es wird vermutet, dass der REvil-Stamm verwendet wurde, um die VSA-IT-Management-Software von Kaseya zu kompromittieren, obwohl nicht bekannt ist, welcher Ransomware-Partner dahinter steckt.

    Wie von der BBC berichtet, war man jedoch überrascht über die Forderung der Gruppe, das Geld in Bitcoin zu zahlen, einer Kryptowährung, die leichter zu verfolgen ist als Monero.

    Tatsächlich werden einzelne Lösegeldforderungen mit betroffenen Organisationen offenbar immer noch in Monero gestellt, aber die jüngste 70-Millionen-Dollar-Forderung für einen Entschlüsseler für alle Opfer wurde in Bitcoin ausgestellt.

    Es ist unklar, wie viele Organisationen betroffen sind. Die ursprüngliche Schätzung von Kaseya von “weniger als 40” wurde gestern auf “weniger als 60” nach oben korrigiert.

    Viele davon sind Managed Service Provider (MSPs), deren Kunden betroffen waren. Der Softwarehersteller schätzt, dass etwa 1.500 nachgelagerte Organisationen dieser Art betroffen waren – alle, die sein On-Premises-Produkt einsetzen.

    Zu diesen unglücklichen Organisationen gehören 500 Coop-Supermärkte in Schweden, 11 Schulen in Neuseeland und zwei niederländische IT-Firmen.

    Ein Bericht von Kaspersky behauptete gestern, dass seit dem 2. Juli bis zu 5000 Angriffsversuche in 22 Ländern unternommen wurden.

    Die Auswirkungen des Angriffs wurden möglicherweise dadurch verstärkt, dass er zeitlich mit dem Feiertagswochenende am 4. Juli in den USA zusammenfiel, was bedeutet, dass viele IT-Sicherheitsexperten nicht im Dienst waren.

    Das FBI und die Cybersecurity and Infrastructure Security Agency (CISA) haben jedoch gemeinsam eine Anleitung für betroffene MSPs und deren Kunden veröffentlicht.

    Für erstere beinhaltete der Ratschlag das Herunterladen des VSA-Detection-Tools von Kaseya, das Systeme auf jegliche Indikatoren einer Kompromittierung (IoCs) scannt.

    Christos Betsios, Cyber Operations Officer bei Obrela, wies darauf hin, dass der REvil-Vorgänger Gandcrab in der Vergangenheit Kaseya kompromittierte, um MSPs und deren Kunden zu infizieren.

    “Der Schlüssel ist immer, auf den schlimmsten Fall vorbereitet zu sein, denn selbst wenn wir über ein gutes Patch-Management und Programme zur Verwaltung von Schwachstellen verfügen, sind wir nicht mehr sicher”, fügte er hinzu. “Angreifer werden weiterhin versuchen, große Softwarehersteller zu kompromittieren und ihren Schadcode über sie zu verbreiten.”

    Einige Teile dieses Artikels stammen aus:
    www.infosecurity-magazine.com