Die Sicherheitsforscher von Check Point Research haben die Ransomware-Angriffe durch REvil vom vergangenen Wochenende genauer unter die Lupe genommen. Die Hacker-Gruppe nutze den amerikanischen Unabhängigkeitstag am 04. Juli für den größten Supply Chain-Angriff seit der Attacke auf Sunburst Ende 2020.
Die Angreifer von REvil bedienten sich eines Zero-Day-Exploit in der Software von Hersteller Kaseya als Einfallstor, um Ransomware in Unternehmen einzuschleusen und diese zu erpressen. Betroffen sind zwischen 800 und 1500 Unternehmen aus 17 Ländern, das bestätigte Fred Voccola, Vorstandsvorsitzender von Kaseya, gegenüber der Nachrichtenagentur Reuters.
Das gesamte geforderte Lösegeld der Angreifer liegt im Millionenbereich. Bereits in den letzten Wochen beobachteten die Sicherheitsforscher von Check Point ansteigende Aktivität von REvil-Hackern: In den vergangenen zwei Monaten verzeichneten sie 15 neue REvil-Angriffe pro Woche, die meisten davon in den Vereinigten Staaten, Deutschland, Brasilien und Indien. Im Vergleich zum vergangenen Jahr stieg die Anzahl an Ransomware-Angriffen allgemein und global um 93 Prozent.
„Im Jahr 2021 wurden bereits Rekorde für Cyberangriffe gebrochen,“ erläutert Christine Schönig, Regional Director Security Engineering CER, bei Check Point: „Der Anstieg von Ransomware-Angriffen liegt bei einem Allzeithoch von 93 Prozent weltweit, der aller Attacken in der EMEA-Region bei 97 Prozent und das nur in den letzten 12 Monaten.“
„Noch nie gab es so viele Opfer von Ransomware-Angriffen von denen ein unbekanntes Ausmaß nicht nur allein die USA betrifft, sondern vermehrt sind es auch europäische Unternehmen, die hier ins Visier geraten sind. Wer Kaseya VSA verwendet, trennt es am besten umgehend vom Netzwerk, obwohl es schon zu spät sein könnte.“
REvil wählte den 4. Juli als Zeitpunkt des Angriffsdeshalb , weil am Nationalfeiertag der USA häufig nur eine Notbesetzung zur Verfügung steht. Diese Tatsache öffnete die Hintertür zu über tausend Unternehmen über die wiederum zahlreiche weitere Unternehmen kompromittiert worden sind. IT-Mitarbeiter waren offline und die eingesetzte Notbesetzung arbeitete in der Regel weniger umsichtig.
Diese Tatsache spielte den Hackern in mehrfacher Hinsicht in die Hände: Die Ransomware konnte vollständig zum Einsatz gebracht werden, bevor jemand etwas gemerkt hat. Zusätzlich ist die Panik größer, wenn wichtige Ansprechpartner nicht verfügbar sind. Damit steigt das Maß an Fehlentscheidungen und auch die Wahrscheinlichkeit einer Lösegeldforderung nachzugeben.
Wichtige Schritte, um eine Infektion im Zusammenhang mit der Kaseya-Angriffswelle zu identifizieren:
- EDR, NDR und andere Tools zur Sicherheitsüberwachung verwenden, um die Legitimität aller neuen Dateien in der Umgebung seit dem 2. Juli zu überprüfen.
- Bei den Anbietern von Sicherheitsprodukten fragen, ob Schutzmaßnahmen für REvil-Ransomware vorhanden sind.
- Wenn Hilfe benötigt wird, Experten hinzuziehen, um die Situation in der IT-Umgebung zu verifizieren.