Die seit Spätsommer 2019 wütende REvil-Ransomware ist noch immer aktiv und hat sich in den vergangenen Wochen prominente Opfer geangelt. Darauf machen die IT-Sicherheitsexperten der PSW Group aufmerksam.
Was war passiert? Am Wochenende des 3. und 4. Julis musste die schwedische Supermarktkette Coop aufgrund eines Hackerangriffs auf die US-Firma Kaseya ihre Türen schliessen, da die Kassensysteme nicht mehr funktionierten. Die Hackergruppe REvil erklärt, dafür verantwortlich zu sein und fordert ein Lösegeld von über 70 Millionen US-Dollar. „Dieser Hackerangriff war gross angelegt, denn nicht nur Coop gehört zu den Opfern. Offenbar gelang es REvil, das Desktop-Management-Tool VSA aus dem Hause Kaseya zu kapern und ein schädliches Update aufzuspielen. In der Folge sind nun Tausende Kunden von Kaseya betroffen“, informiert Patrycja Schrenk, Geschäftsführerin der PSW Group. Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) erklärt, sind auch IT-Dienstleister und weitere Unternehmen aus Deutschland betroffen: Mehrere Tausend Geräte seien verschlüsselt worden, denn Ransomware wurde über jedes Glied der Software-Lieferkette ausgerollt.
Das ist nur die Spitze des Eisbergs
Die Attacke auf Kaseya ist jedoch nur die Spitze des Eisbergs und zeigt, dass Ransomware seit 2019 nicht an Gefährlichkeit eingebüsst hat. So hatte es vor einigen Wochen REvil auch auf Acer und Quanta abgesehen: Der taiwanesische Hardware-Hersteller Acer wurde Mitte März 2021 angegriffen. Es ist sehr wahrscheinlich, dass die ausführende Hacker-Gruppe die Exchange-Server-Lücke ausnutzen konnte, um REvil ins Netzwerk zu schleusen. Offenbar wurden nicht nur Daten verschlüsselt, sondern auch Dokumente erbeutet. Ähnlich erging es Auftragsfertiger Quanta: Im April 2021 wurde der Hersteller Opfer eines Ransomware-Angriffs auf seine Server. Wieder soll die REvil-Gruppe dahinterstecken. Die Angreifer drohen mit der schrittweisen Veröffentlichung erbeuteter Informationen, darunter angeblich auch Blueprints von Apples Hardware. „REvil zählt zu den gefährlichsten Ransomware-Familien, ist aber nicht die einzige. Seit 2016 ist diese Art der Schadsoftware auf dem Vormarsch. Damals explodierte die Zahl der Ransomware-Angriffe förmlich: Binnen weniger Monate verdreifachten sich Ransomware-Attacken auf Unternehmen. Wurden im Januar 2016 ein Vorfall alle zwei Minuten verzeichnet, fand im September 2016 bereits alle 40 Sekunden ein Angriff statt. Gezielte Kampagnen können seit 2019 beobachtet werden“, informiert Patrycja Schrenk. Die Sicherheitsspezialisten von Kaspersky haben auf Basis ihrer Datengrundlage zudem ein Ranking der aktivsten Cybergangs erstellt, bei dem REvil auf dem dritten Platz landet: REvil-Opfer machen in der Gesamtstatistik 11 Prozent aus. Die Dunkelziffer dürfte höher sein, da Vorfälle dieser Art nicht immer gemeldet werden. In rund 20 Branchen war die Malware bereits tätig, wobei die grösste Opferzahl von REvil mit 30 Prozent im Bereich Entwicklung und Herstellung liegt.
Anomalien frühzeitig erkennen
Nichts geht ausserdem ohne Patchen: Updates, sowohl des Betriebssystems als auch von Server- und Client-Side-Software, sollten immer zeitnah eingespielt werden, um Angriffe über bekannte Sicherheitslücken zu verhindern. Monitoring hilft ausserdem dabei, die Sicherheit der hauseigenen Geräte im Auge zu behalten. „Regelmässig sollte überprüft werden, welche Ports geöffnet und via Internet erreichbar sind. Wer auch die Netzwerk-Infrastruktur im Auge behält, kann Anomalien frühzeitig wahrnehmen, die wiederum Ursache eines Cyberangriffs sein können“, ergänzt Schrenk. Unternehmensdaten sollten zudem durch Backup gesichert sein. Durch Sicherheitskopien können etwaige Ausfallzeiten bei (Hardware-)Fehlfunktionen oder erfolgreichen Angriffen vermieden oder wenigstens verkürzt werden. Last but not least sollten Mitarbeiter im Home Office angehalten werden, ausschliesslich auf sichere Verbindungen zu setzen. „Die Anbieter sollten sorgfältig gewählt werden, denn auch VPNs können anfällig sein. Neben einer Sicherheitssoftware, die auch Ransomware erkennen kann, gehören starke Passwörter sowie 2-Faktor-Authenthifizierung zu den Werkzeugen, die den Remote-Zugang absichern“, rät Patrycja Schrenk.