REvil in Action: Ransomware-Angriffe nehmen zu

Die seit Spätsommer 2019 wütende REvil-Ransomware ist noch immer aktiv und hat sich in den vergangenen Wochen prominente Opfer geangelt. Darauf machen die IT-Sicherheitsexperten der PSW GROUP aufmerksam.

Was war passiert? Am Wochenende des 3. und 4. Julis musste die schwedische Supermarktkette Coop aufgrund eines Hackerangriffs auf die US-Firma Kaseya ihre Türen schließen, da die Kassensysteme nicht mehr funktionierten. Die Hackergruppe REvil erklärt, dafür verantwortlich zu sein und fordert ein Lösegeld von über 70 Millionen US-Dollar. „Dieser Hackerangriff war groß angelegt, denn nicht nur Coop gehört zu den Opfern. Offenbar gelang es REvil, das Desktop-Management-Tool VSA aus dem Hause Kaseya zu kapern und ein schädliches Update aufzuspielen. In der Folge sind nun Tausende Kunden von Kaseya betroffen“, informiert Patrycja Schrenk, Geschäftsführerin der PSW GROUP. Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) erklärt, sind auch IT-Dienstleister und weitere Unternehmen aus Deutschland betroffen: Mehrere Tausend Geräte seien verschlüsselt worden, denn Ransomware wurde über jedes Glied der Software-Lieferkette ausgerollt.

Anzeige

Die Attacke auf Kaseya ist jedoch nur die Spitze des Eisbergs und zeigt, dass Ransomware seit 2019 nicht an Gefährlichkeit eingebüßt hat. So hatte es vor einigen Wochen REvil auch auf Acer und Quanta abgesehen: Der taiwanesische Hardware-Hersteller Acer wurde Mitte März 2021 angegriffen. Es ist sehr wahrscheinlich, dass die ausführende Hacker-Gruppe die Exchange-Server-Lücke ausnutzen konnte, um REvil ins Netzwerk zu schleusen. Offenbar wurden nicht nur Daten verschlüsselt, sondern auch Dokumente erbeutet. Ähnlich erging es Auftragsfertiger Quanta: Im April 2021 wurde der Hersteller Opfer eines Ransomware-Angriffs auf seine Server. Wieder soll die REvil-Gruppe dahinterstecken. Die Angreifer drohen mit der schrittweisen Veröffentlichung erbeuteter Informationen, darunter angeblich auch Blueprints von Apples Hardware.

„REvil zählt zu den gefährlichsten Ransomware-Familien, ist aber nicht die einzige. Seit 2016 ist diese Art der Schadsoftware auf dem Vormarsch. Damals explodierte die Zahl der Ransomware-Angriffe förmlich: Binnen weniger Monate verdreifachten sich Ransomware-Attacken auf Unternehmen. Wurden im Januar 2016 ein Vorfall alle zwei Minuten verzeichnet, fand im September 2016 bereits alle 40 Sekunden ein Angriff statt. Gezielte Kampagnen können seit 2019 beobachtet werden“, informiert Patrycja Schrenk. Die Sicherheitsspezialisten von Kaspersky haben auf Basis ihrer Datengrundlage zudem ein Ranking der aktivsten Cybergangs erstellt, bei dem REvil auf dem dritten Platz landet: REvil-Opfer machen in der Gesamtstatistik 11 Prozent aus. Die Dunkelziffer dürfte höher sein, da Vorfälle dieser Art nicht immer gemeldet werden. In rund 20 Branchen war die Malware bereits tätig, wobei die größte Opferzahl von REvil mit 30 Prozent im Bereich Entwicklung und Herstellung liegt.

„Die Lage ist Ernst, denn es gibt keinen 100-prozentigen Schutz vor Ransomware wie REvil. Es gibt aber einige Kniffe und Tricks, mit denen sich Unternehmen effektiv schützen können. Dazu zählt vor allen Dingen Awareness. Denn die Sicherheit der Technik kann immer nur so gut sein wie der Mensch, der sie nutzt. Die Beschäftigten eines Unternehmens müssen wissen, was Phishing ist oder dass keine Downloads von dubiosen Seiten stattfinden dürfen. Sie müssen wissen, wie man sichere Passwörter generiert oder dass man nicht auf verdächtige Links klickt“, so Patrycja Schrenk.

Nichts geht außerdem ohne Patchen: Updates, sowohl des Betriebssystems als auch von Server- und Client-Side-Software, sollten immer zeitnah eingespielt werden, um Angriffe über bekannte Sicherheitslücken zu verhindern. Monitoring hilft außerdem dabei, die Sicherheit der hauseigenen Geräte im Auge zu behalten. „Regelmäßig sollte überprüft werden, welche Ports geöffnet und via Internet erreichbar sind. Wer auch die Netzwerk-Infrastruktur im Auge behält, kann Anomalien frühzeitig wahrnehmen, die wiederum Ursache eines Cyberangriffs sein können“, ergänzt Schrenk.

Unternehmensdaten sollten zudem durch Backup gesichert sein. Durch Sicherheitskopien können etwaige Ausfallzeiten bei (Hardware-)Fehlfunktionen oder erfolgreichen Angriffen vermieden oder wenigstens verkürzt werden. Last but not least sollten Mitarbeiter im Home Office angehalten werden, ausschließlich auf sichere Verbindungen zu setzen. „Die Anbieter sollten sorgfältig gewählt werden, denn auch VPNs können anfällig sein. Neben einer Sicherheitssoftware, die auch Ransomware erkennen kann, gehören starke Passwörter sowie 2-Faktor-Authenthifizierung zu den Werkzeugen, die den Remote-Zugang absichern“, rät Patrycja Schrenk.

www.psw-group.de

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button “Zum Newsletter anmelden” stimme ich der Datenschutzerklärung zu.