REvil - Analyse, Bedrohung, Schaden, wie weiter?

/ Kategorie: Threat Intelligence
Erstellt von Stefan Heller

Die Ransomware REvil hat tausende Computer und Infrastrukturanlagen weltweit in Verbindung mit dem Kaseya-Dienst (Kaseya bietet eine IT Management Software für interne IT-Teams und für Managed Service Provider) lahmgelegt. Doch leider ist es nicht das erste Mal, dass REvil zugeschlagen hat. Die Malware war schon in der Vergangenheit aktiv, eine Übersicht.

REvil - Analyse, Bedrohung, Schaden, wie weiter?

REvil, vermutlich aus Russland

Vermutlich ist die Ransomware REvil das erste Mal im Zusammenhang mit dem Angriff auf eine Pipeline in Erscheinung getreten. Vorher war über REvil nicht viel bekannt. Man geht davon aus, dass die russische Hackergruppe GOLD SOUTHFIELD hinter der gefährlichen Ransomware steckt. Nebst dem Shutdown der Pipeline war im Frühling dieses Jahres eine grosse Fleischfabrik in den USA von der gleichen Ransomware betroffen.

Ransomware as a Service

Ransomware as a Service liegt dann vor, wenn die Malware von jemandem entwickelt, aber von jemandem anderem in Umlauf gebracht wird. Der Vorteil besteht darin, dass sich die Entwickler vollkommen auf die Entwicklung von Malware spezialisieren können. Währenddessen sind die Versender der Malware spezialisiert auf die Infektion von Netzwerken. Hierfür werden andere Skillsets als in der Entwicklung benötigt. Die Angriffe werden somit effizienter.

Was ist die aktuelle Bedrohungslage?

Am vorletzten Wochenende ist bekannt geworden, dass über ein Update des US-Softwareherstellers Kaseya die Ransomware REvil verteilt worden ist. Es handelt sich hierbei um eine Remote Monitoring und Management Software, womit andere Geräte gemanaged werden, darunter Server, Clients, Printer, etc.. Sollten Sie in Ihrem Unternehmen den Dienst noch einsetzen, so ist Vorsicht geboten.

Politik im Spiel?

Eine Frage, welche angesichts der Vorkommnisse im Raum steht: Hat das Gipfeltreffen zwischen den Staatspräsidenten Russland und den USA etwas damit zu tun? Vermutlich nicht. Obwohl Präsident Biden Russland ermahnt hat, mehr gegen Cyber-Kriminelle zu unternehmen. Meist benötigen Hacker Zeit, sich Zugriff zu einem bestimmten System zu verschaffen. Dies passiert in der Regel nicht über Nacht. Demnach ist es unwahrscheinlich, dass das Treffen eine grössere Rolle gespielt hat.

Der entstandene Schaden

Gemäss National Cyber Zentrum der Schweiz ist noch kein Unternehmen in der Schweiz betroffen. Weltweit jedoch beläuft sich das Lösegeld der von Kaseya betroffenen Schwachstelle um die 80 Millionen Dollar. Der über die Lösegelder hinausgehende Schaden ist jedoch noch gigantischer. So musste Coop, einer der grössten Lebensmittelmärkte in Schweden, teilweise über das Wochenende Filialen schliessen, da die Technik nicht funktionierte. Auch mussten Kindergärten und Schulen auf der ganzen Welt den Unterricht umstellen, da ihre Geräte ebenfalls betroffen waren. In Summe kann von Schäden in Milliardenhöhe ausgegangen werden. Experten schätzen, dass rund 1500 Unternehmen betroffen sind.

Zu bedenken sind auch die bereits im Frühling entstandenen Schäden bei der Fleischfabrik und der Benzinpipeline. Im letzten Fall wurde ein Lösegeld von ein paar Millionen Dollar bezahlt. Hinzu kommen noch Kosten für die Wiederherstellung und den (Wieder-)Aufbau der Security.

Lessons learned

Welche Schlüsse sollten Sie aus derlei Berichten für Ihr Unternehmen ziehen? Als Softwarenutzer ist ein gutes Third Party Risk Management wichtig. Ebenso müssen solche Szenarien in der heutigen Zeit durchgespielt werden.

Was ist der aktuelle Stand?

Kaseya hat nun einen Patch herausgegeben, der Sicherheitslücken schliessen soll. Jedoch ist es ratsam, vor dem Patchen der Server noch einige Sicherheitstipps durchzugehen. So sollten die Server abgetrennt von anderen Systemen wieder ans Netz gehen. Alles in allem kann vermutet werden, dass selbst Kaseya dem Patching nicht ganz traut.

Im Netz kursieren zurzeit Gerüchte und Spekulationen über REvil: Alle Seiten der Hackergruppe im Web oder Darkweb sind nicht mehr erreichbar. Sogar die Bezahlinfrastruktur scheint gemäss Pressemeldungen nicht mehr zu funktionieren. 

Zusammen. Sicher.

Kontaktieren Sie uns, bevor es zu spät ist. Egal, ob Sie selbst einen Incident haben, ein Third Party Risk Assessment, Incident Respone Services oder SOC as a Service benötigen. Wir finden bestimmt eine Lösung für Sie.
Kontaktieren Sie uns via marketing[at]ispin.ch oder +41 44 838 3111.

 

Notfall?

ISPIN 7/24 Incident Hotline: 0848 800 017 | cyberdefense[at]ispin.ch

 

Haben Sie Fragen zu unseren News, Events oder Blogartikeln? Nehmen Sie mit mir Kontakt auf.

Reiner Höfinger

Marketing & Communications

Kontakt

ContactKontaktGo to top