Aktuellen Berichten zufolge wird jede Woche eine neue Organisation mit Ransomware angegriffen \u2013 im Jahr 2021 erbeuteten lediglich sechs Erpresserbanden schon \u00fcber 45 Millionen US-Dollar. Betroffen waren neben Beh\u00f6rden, Krankenh\u00e4usern und Universit\u00e4ten multinationale Konzerne \u2013 mitunter auch Acer sowie Quanta. Wir berichten im heutigen Beitrag \u00fcber diese Ransomware-Angriffe, wobei wir ein besonderes Augenmerk auf REvil alias Sodin bzw. Sodinokibi legen. Weiter erhalten Sie Tipps, mit denen Sie sich vor Ransomware-Angriffen sch\u00fctzen k\u00f6nnen.<\/p>\n
\u00dcber die Ransomware-Familie REvil alias Sodinokibi oder kurz Sodin berichteten wir erstmals im Jahr 2019<\/a>. Dass diese Ransomware bis heute nicht an Gef\u00e4hrlichkeit eingeb\u00fc\u00dft hat, zeigt ein Vorfall bei Acer, der im M\u00e4rz dieses Jahres entdeckt wurde:<\/p>\n Der taiwanesische Hardware-Hersteller Acer wurde Mitte M\u00e4rz 2021 angegriffen: Es ist sehr wahrscheinlich, dass die ausf\u00fchrende Hacker-Gruppe die Exchange-Server-L\u00fccke<\/a> ausnutzen konnte, um mit REvil eine der gef\u00e4hrlichsten Ransomware-Familien ins Netzwerk zu schleusen. Offenbar wurden nicht nur Daten verschl\u00fcsselt, sondern auch Dokumente erbeutet.<\/p>\n Die Cyberkriminellen verlangten Berichten des Nachrichtenportals Bleepingcomputer zufolge L\u00f6segeld in H\u00f6he von 50 Millionen US-Dollar in Kryptow\u00e4hrungen. W\u00fcrde die Summe unmittelbar flie\u00dfen, so h\u00e4tten die Kriminellen wohl 20 Prozent Rabatt gew\u00e4hrt. Dem Konzern wurde jedoch auch in die andere Richtung gedroht: Sollte Acer der Zahlung der 50 Millionen US-Dollar bis 28.03. nicht nachkommen, so w\u00fcrden die Hacker anschlie\u00dfend mit 100 Millionen US-Dollar das Doppelte verlangen. Acer selbst schwieg sich gegen\u00fcber Bleepingcomputer aus. Der Vorfall wurde also nicht direkt best\u00e4tigt, jedoch sprachen Acer-Vertreter von laufenden Untersuchungen, \u00fcber die man aus Sicherheitsgr\u00fcnden nicht detailliert sprechen k\u00f6nne.<\/p>\n In einer per E-Mail versandten Erkl\u00e4rung, aus der ZDNet.de zitiert<\/a>, hie\u00df es von einem Acer-Sprecher: \u201eAcer \u00fcberwacht seine IT-Systeme routinem\u00e4\u00dfig, und die meisten Cyberangriffe werden gut abgewehrt. Unternehmen wie wir sind st\u00e4ndig Angriffen ausgesetzt, und wir haben die in letzter Zeit beobachteten Anomalien an die zust\u00e4ndigen Strafverfolgungs- und Datenschutzbeh\u00f6rden in mehreren L\u00e4ndern gemeldet.\u201c Weiter hie\u00df es: \u201eAcer hat die Anomalien ab M\u00e4rz entdeckt und sofort Sicherheits- und Vorsichtsma\u00dfnahmen eingeleitet. [\u2026] Es gibt eine laufende Untersuchung und aus Sicherheitsgr\u00fcnden k\u00f6nnen wir uns nicht zu Details \u00e4u\u00dfern.\u201c<\/p>\n Wie die Finanznachrichtenagentur Bloomberg berichtet, wurde im April 2021 der Auftragsfertiger Quanta Opfer eines Ransomware-Angriffs. Wieder soll die REvil-Gruppe dahinterstecken. Es w\u00e4re zu \u201eCyberangriffen auf eine geringe Zahl an Quanta-Servern\u201c gekommen, berichtet Bloomberg. Die Attacke wurde der zust\u00e4ndigen Beh\u00f6rde gemeldet; nennenswerte Auswirkungen auf den Gesch\u00e4ftsbetrieb habe es laut Quanta nicht gegeben.<\/p>\n Die REvil-Gruppe hingegen br\u00fcstete sich damit, die Daten im Intranet von Quanta verschl\u00fcsselt zu haben. F\u00fcr die Entschl\u00fcsselung der Daten verlangte die REvil-Cybergang mindestens 50 Millionen US-Dollar \u2013 also dieselbe Summe, die schon Acer zahlen sollte. Quanta war nicht bereit zu zahlen, sodass die Cyberkriminellen um die REvil-Ransomware mit dem schrittweisen Ver\u00f6ffentlichen der erbeuteten Informationen drohten. Darunter w\u00e4ren auch Blueprints von Apples Hardware.<\/p>\n Da Quanta nicht zahlungswillig war, wandten sich die Kriminellen direkt an Apple: Der Konzern k\u00f6nne die Dokumente wahlweise zur\u00fcckkaufen oder er m\u00fcsse mit dem Ver\u00f6ffentlichen der Informationen rechnen. Die H\u00f6he der Summe, die f\u00fcr den \u201eR\u00fcckkauf\u201c gefordert wurde, blieb unklar.<\/p>\n Tats\u00e4chlich wurden im Darknet laut dem Bloomberg-Bericht diverse Schema-Zeichnungen des aktuellen MacBooks ver\u00f6ffentlicht, einschlie\u00dflich spezifischer Details \u00fcber das Ger\u00e4t. Nicht bekannt ist jedoch, ob diese Blueprints unver\u00f6ffentlichte Apple-Hardware zeigen. Schlie\u00dflich ist Apple mitunter auch daf\u00fcr ber\u00fchmt, Produktentwicklungen sehr effektiv geheim halten zu k\u00f6nnen.<\/p>\n Quanta ist nicht nur f\u00fcr Apple aktiv, sondern fertigt auch f\u00fcr weitere IT-Konzerne, darunter etwa Dell, HP, Microsoft oder Lenovo. Die REvil-Gruppe erkl\u00e4rte, dass man mit \u201ebekannten Marken\u201c verhandeln w\u00fcrde \u2013 auch hier \u00fcber den R\u00fcckkauf von vertraulichen Skizzen.<\/p>\n Am Wochenende vom 03. und 04.07.2021 ging in schwedischen Superm\u00e4rkten nichts mehr: Aufgrund eines Hackerangriffs auf die US-Firma Kaseya musste die schwedische Supermarktkette Coop ihre T\u00fcren schlie\u00dfen, da die Kassensysteme nicht mehr funktionierten. Am Freitagnachmittag erfolgte der erpresserische Zugriff. Die Hackergruppe REvil erkl\u00e4rt in ihrem hauseigenen Blog, daf\u00fcr verantwortlich zu sein. Nun fordern die Cyberkriminellen ein L\u00f6segeld, das \u00fcber die Forderungen an Acer und Quanta weit hinausreicht: 70 Millionen US-Dollar wollen die Hacker erpressen.<\/p>\n Der Hackerangriff war gro\u00df angelegt – nicht nur Coop geh\u00f6rt zu den Opfern. Offenbar gelang es REvil, das Desktop-Management-Tool VSA aus dem Hause Kaseya zu kapern und ein sch\u00e4dliches Update aufzuspielen. In der Folge sind nun Tausende Kunden von Kaseya betroffen.<\/p>\n Dazu geh\u00f6ren wohl auch deutsche Unternehmen: Wie das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) erkl\u00e4rt<\/a>, seien auch IT-Dienstleister und weitere Unternehmen aus Deutschland betroffen. Mehrere Tausend Ger\u00e4te seien verschl\u00fcsselt worden. Arne Sch\u00f6nbohm, BSI-Pr\u00e4sident, dazu: „Der Vorfall zeigt, wie intensiv die globale Vernetzung in der Digitalisierung voranschreitet und welche Abh\u00e4ngigkeiten dabei entstehen. Bei dem aktuellen Angriff wurde Ransomware \u00fcber jedes Glied einer Software-Lieferkette ausgerollt. Das zeigt deutlich: Lieferketten m\u00fcssen auch unter dem Aspekt der IT-Sicherheit in den Fokus r\u00fccken. Ransomware ist derzeit als eine der gr\u00f6\u00dften Bedrohungen f\u00fcr die IT von Unternehmen und Organisationen einzusch\u00e4tzen. Bei erfolgreichen Angriffen werden Dienstleistungen und Produktion h\u00e4ufig zum Stillstand gebracht. Die Sch\u00e4den f\u00fcr die Betroffenen sind daher oftmals enorm.“<\/p>\n Einem Bericht des Sicherheitsspezialisten Kaspersky<\/a> zufolge gehen Ransomware-Erpresser wie folgt vor: Zun\u00e4chst wird die Finanzkraft von Organisationen und Unternehmen ermittelt. Bevor die Daten dann verschl\u00fcsselt werden, werden sie zudem gestohlen. So k\u00f6nnen die Kriminellen den Druck auf ihre Opfer erh\u00f6hen: Sind diese nicht bereit, das L\u00f6segeld f\u00fcr die Entschl\u00fcsselung der Daten zu zahlen, wird mit dem Ver\u00f6ffentlichen der gestohlenen Informationen gedroht.<\/p>\n Kaspersky ver\u00f6ffentlicht dazu erschreckende Zahlen: Im Jahr 2016 trat eine Wende ein, denn binnen weniger Monate verdreifachten sich Ransomware-Angriffe auf Unternehmen. Im Januar 2016 verzeichnete man einen Vorfall alle zwei Minuten; im September 2016 bereits alle 40 Sekunden. Gezielte Kampagnen k\u00f6nnen seit 2019 beobachtet werden. Die Sicherheitsspezialisten von Kaspersky haben anhand ihrer Datengrundlagen ein Ranking der aktivsten Cybergangs erstellt, bei dem REvil auf dem dritten Platz landet. REvil-Opfer machen in der Gesamtstatistik 11 Prozent aus \u2013 die Dunkelziffer d\u00fcrfte jedoch h\u00f6her sein, da Vorf\u00e4lle dieser Art nicht immer gemeldet werden. In rund 20 Branchen war die Malware bereits t\u00e4tig, wobei die gr\u00f6\u00dfte Opferzahl von REvil mit 30 Prozent im Bereich Entwicklung und Herstellung liegt.<\/p>\n Die schlechte Nachricht zuerst: Es gibt keinen 100-prozentigen Schutz vor Ransomware wie REvil. Es gibt aber \u2013 und das sind die guten Nachrichten \u2013 einige Kniffe und Tricks, mit denen Sie sich sehr effizient sch\u00fctzen:<\/p>\n <\/p>\n Gender-Disclaimer:Hackergruppe lockt mit Rabatten<\/h3>\n
Auch bei Apple-Fertiger Quanta schl\u00e4gt REvil zu<\/h2>\n
REvil fordert Rekord-L\u00f6segeld von 70 Millionen US-Dollar<\/h2>\n
REvil nur eine von vielen: Ransomware auf dem Vormarsch<\/h2>\n
REvil und andere Ransomware: So sch\u00fctzen Sie sich<\/h3>\n
\n
\nZur besseren Lesbarkeit und zur Vermeidung von Gender-Sternchen verwenden wir das generische Maskulinum f\u00fcr Substantive und meinen damit alle nat\u00fcrlichen Personen unabh\u00e4ngig ihres Geschlechts.<\/p>\n