Lösegeld-Hacker wollen 70 Millionen Dollar nach Angriff auf Unternehmen

Einschätzung von Experten

Derweil bewerten Cybersecurity-Experten das Geschehen als ausserordentlich ausgefeilt. «Die Ransomware-Attacke über das 4.-Juli-Wochenende, offenbar von der russischsprachigen Hackergruppe REvil ausgeführt, widerspiegelt eine katastrophale Kombination der schlimmsten Cyberangrifftrends des Jahres 2021, nämlich Attacken über die Supply-Chain und Ransomware», meinen die Malware-Forscher von CPR, der Forschungsabteilung von Check Point, in einer Stellungnahme. Zudem sei es noch zu früh, das volle Ausmass der Attacke abzuschätzen. Das könne wohl erst am Mittwoch eingeschätzt werden.
Auch die Virenjäger von Sophos haben seit Bekanntwerden der Attacke die Art und Weise des Angriffs genauer untersucht und kommen zu einem ähnlichen Schluss. «Sophos hat den Angriff in die Rubrik ‚Supply Chain Distribution‘ eingeordnet», berichtet Mark Loman, Director of Engineering bei Sophos. Die Kriminellen nutzten Managed Service Provider (MSP) als «Vertriebsplattform», um so viele Unternehmen wie möglich zu treffen, unabhängig von Grösse oder Branche.
«Im aktuellen Fall war kurz nach dem Angriff klar, dass ein Partner von REvil Ransomware-as-a-Service (RaaS) einen Zero-Day-Exploit nutzte, um die Ransomware über die Virtual Systems Administrator (VSA)-Software von Kaseya zu verteilen», erklärt Loman weiter. Normalerweise biete diese Software einen äusserst vertrauenswürdigen Kommunikationskanal, der MSPs unbegrenzten privilegierten Zugriff ermögliche, um vielen Unternehmen bei ihren IT-Umgebungen zu helfen, so Loman. «Genau diese Plattform wurde nun als Verteiler für die Ransomware umfunktioniert», sagt er.

Premium-Zero-Day-Exploit

Loman geht daher davon aus, dass die Angreifer wegen früherer Ransomware-Angriffe reich geworden sind und sich jetzt sehr exquisite Sicherheitslücken leisten können. «Bestimmte Zero-Day-Exploits sind bislang normalerweise nur auf Nationalstaaten-Ebene realisierbar gewesen, die diese Tools normalerweise ganz gezielt für einen bestimmten, isolierten Angriff einsetzen», sagt Loman.
In den Händen von Cyberkriminellen könne ein solcher ‚Premium-Exploit‘ für eine Schwachstelle in einer globalen Plattform viele Unternehmen gleichzeitig treffen und Auswirkungen auf unser tägliches Leben haben, führt er weiter aus..



Das könnte Sie auch interessieren