Accenture in Lockbit-2.0-Angriff mit 50 Millionen Dollar Lösegeld verwickelt

  • Das weltweit tätige Beratungsunternehmen Accenture war das Ziel der Ransomware-Gruppe Lockbit, die Berichten zufolge verschlüsselte Daten des Unternehmens erbeutete.

    Lockbit sagt, dass es die Daten veröffentlichen wird, wenn Accenture das Lösegeld nicht zahlt, wie Screenshots der Website der Ransomware-Gruppe zeigen. Infosecurity hat Accenture um eine Stellungnahme zu dem Ransomware-Angriff gebeten.

    In einer Erklärung, die CNN zur Verfügung gestellt wurde, sagte ein Accenture-Sprecher dem internationalen Sender: “Durch unsere Sicherheitskontrollen und -protokolle haben wir unregelmäßige Aktivitäten in einer unserer Umgebungen festgestellt. Wir haben die Angelegenheit sofort unter Kontrolle gebracht und die betroffenen Server isoliert.”

    Die Datenpanne ereignete sich, nachdem das Australian Cyber Security Centre (ACSC) Organisationen in Australien gewarnt hatte, dass Cyberkriminelle häufig die Ransomware Lockbit 2.0 einsetzen. “Das ACSC hat Berichte von mehreren australischen Organisationen erhalten, die von LockBit 2.0 Ransomware betroffen waren”, heißt es in der Warnung. “Diese Aktivitäten sind in verschiedenen Branchen aufgetreten.

    “Die Opfer haben Forderungen nach Lösegeldzahlungen erhalten. Zusätzlich zur Datenverschlüsselung haben die Opfer Drohungen erhalten, dass die bei den Vorfällen gestohlenen Daten veröffentlicht werden.”

    Was ist Lockbit 2.0?

    Lockbit 2.0 wurde Anfang dieses Monats eingeführt – die neueste Version der Ransomware – und enthält eine Vielzahl zusätzlicher Funktionen.

    “Mit den jüngsten internationalen Bemühungen zur Bekämpfung von Ransomware haben es diese Banden schwer, ihre Malware in Hackerforen zu bewerben”, erklärt Felipe Duarte, Sicherheitsforscher bei Appgate. “Einige Beiträge dieser neuen Version von LockBit wurden in einigen von Cyberkriminellen frequentierten Foren entdeckt, aber sie wurden schnell wieder entfernt. Diese Version wird derzeit auf einer neuen Version ihrer Website beworben.

    “Unser Team hat sich Zugang zur Deep-Web-Site von LockBit verschafft, wo die Display zusammen mit Daten von Opfern veröffentlicht wird, die sich geweigert haben, das Lösegeld zu zahlen”, so Duarte weiter. “Zu den beworbenen Fähigkeiten gehört eine neue, gefährliche Funktion zur Verschlüsselung ganzer Windows-Domänen über Gruppenrichtlinien.

    “Nach der Infizierung eines Domänencontrollers erstellt die Malware neue Gruppenrichtlinien und überträgt sie auf alle mit dem Netzwerk verbundenen Geräte. Diese Richtlinien deaktivieren den Antivirenschutz und führen die Ransomware aus. Darüber hinaus scheint LockBit eine Funktion von der Ransomware Egregor kopiert zu haben, die nach einer erfolgreichen Infektion an alle angeschlossenen Drucker den Befehl zum wiederholten Ausdrucken der Erpresserbotschaft sendet.”

    Appgate erklärt, dass die neue Version von Lockbit eine neue Strategie zur Gewinnung von Partnern einsetzt: Nach der Verschlüsselung eines Geräts wird der Bildschirmhintergrund auf eine Lösegeldforderung eingestellt, die Verantwortung für den Angriff übernommen und auf eine detailliertere .txt-Datei mit einer Notiz verwiesen.

    “Jetzt enthält das eingestellte Hintergrundbild auch eine Rekrutierungsanzeige, die Mitarbeitern Millionen von Dollar verspricht, wenn sie ihnen Zugang zu den Unternehmenssystemen verschaffen, damit sie einen Ransomware-Angriff starten können”, erklärt der Sicherheitsforscher. “Laut der Display kann der Zugang ein gültiger Berechtigungsnachweis sein oder sogar die Ausführung einer in einer E-Mail angehängten Bedrohung.

    “Diese Strategie mag auf den ersten Blick ungewöhnlich erscheinen, aber es ist nicht ungewöhnlich, dass Unternehmen von Mitarbeitern angegriffen werden. So wurde beispielsweise im Jahr 2020 ein in den USA lebender russischer Staatsbürger verhaftet, nachdem er einem Tesla-Mitarbeiter 1 Million Dollar angeboten hatte, um Ransomware im internen Netzwerk von Tesla zu installieren.”

    Was ist die Antwort von Accenture?

    Zum Zeitpunkt der Berichterstattung hatte Accenture die Details des Ransomware-Angriffs gegenüber Infosecurity noch nicht bestätigt. Mehrere Nachrichtenquellen scheinen jedoch zu zeigen, dass Accenture dem Angriff wenig Bedeutung beimisst. Das Unternehmen sagte, dass er “keine Auswirkungen” auf das Geschäft hatte.

    Laut ZDNet hat das Beratungsunternehmen eine Erklärung abgegeben, in der es heißt: “Es gab keine Auswirkungen auf den Betrieb von Accenture oder auf die Systeme unserer Kunden.”

    Das Portal berichtet jedoch auch, dass die auf Cyberkriminalität spezialisierte Firma Hudson Rock behauptet, dass 2.500 Computer von Mitarbeitern und Partnern durch den Ransomware-Angriff kompromittiert wurden. Eine andere Firma, Cyble, behauptet, eine Lösegeldforderung von 50 Millionen Dollar für sechs Terabyte (TB) gestohlener Daten gesehen zu haben.

    Einige Teile dieses Artikels stammen aus:
    www.infosecurity-magazine.com