„Sophos hat seit Bekanntwerden der neuesten Attacke mit der Ransomware REvil zahlreiche Untersuchungen vorgenommen und den Angriff in die Rubrik ‚Supply Chain Distribution‘ eingeordnet. Die Kriminellen nutzen Managed Service Provider (MSP) als ‚Vertriebsplattform‘, um so viele Unternehmen wie möglich zu treffen, unabhängig von Größe oder Branche. Wir sehen hier ein wiederkehrendes Muster, da Angreifer ihre Methoden ständig mit der Maxime anpassen, eine größtmögliche Wirkung zu erzielen, sei es in finanzieller Hinsicht oder zum Stehlen von Anmeldedaten und anderen proprietären Informationen, die sie später nutzen könnten. Bei anderen groß angelegten Angriffen, die wir in der Vergangenheit gesehen haben, wie etwa WannaCry, war die Ransomware selbst der Verteiler. Im aktuellen Fall war kurz nach dem Angriff klar, dass ein Partner von REvil Ransomware-as-a-Service (RaaS) einen Zero-Day-Exploit nutzte, um die Ransomware über die Virtual Systems Administrator (VSA)-Software von Kaseya zu verteilen. Normalerweise bietet diese Software einen äußerst vertrauenswürdigen Kommunikationskanal, der MSPs unbegrenzten privilegierten Zugriff ermöglicht, um vielen Unternehmen bei ihren IT-Umgebungen zu helfen. Genau diese Plattform wurde nun als Verteiler für die Ransomware umfunktioniert.“

„Einige erfolgreiche Ransomware-Gruppierungen haben in letzter Zeit Lösegeld in Millionenhöhe erbeutet, wodurch sie möglicherweise sehr wertvolle Zero-Day-Exploits erwerben können. Bestimmte Exploits sind bislang normalerweise nur auf Nationalstaaten-Ebene realisierbar gewesen, die diese Tools normalerweise ganz gezielt für einen bestimmten, isolierten Angriff einsetzen. In den Händen von Cyberkriminellen kann ein solcher ‚Premium-Exploit‘ für eine Schwachstelle in einer globalen Plattform viele Unternehmen gleichzeitig treffen und Auswirkungen auf unser tägliches Leben haben.“

Basierend auf Sophos Threat Intelligence war REvil in den letzten Wochen besonders aktiv, unter anderem beim JBS-Angriff, und ist derzeit die dominierende Ransomware-Gang, die an den defensiven Managed-Threat-Response-Fällen von Sophos beteiligt ist. Ein Beispiel für die Lösegeldforderung sieht wie folgt aus:

Weitere Informationen zum Thema:

Kaseya VSA Supply Chain Ransomware Attack – Sophos News, updated regularly 

Kaseya VSA Supply Chain Ransomware Attack – Sophos Community, updated regularly 

Relentless REvil, Revealed: RaaS as Variable as the Criminals Who Use it – SophosLabs Uncut 

What to Expect When You’ve Been Hit by REvil – Sophos SecOps 

MTR in Real-Time: Hand-to-Hand Combat with REvil Ransomware Chasing a $2.5 Million Payday – Sophos SecOps 

 

Firmenkontakt und Herausgeber der Meldung:

Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de

Ansprechpartner:
Arno Lücht
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
Thilo Christ
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
Ariane Wendt
Telefon: +1 (724) 536839
E-Mail: sophos@tc-communications.de
Ulrike Masztalerz
TC Communications
Telefon: +49 (30) 55248198
E-Mail: sophos@tc-communications.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel