Meldung

Kaseya-Hack: Raffinierte Angreifer

Sicherheitsforscher von Check Point Research haben die Ransomware-Angriffe vom vergangenen Wochenende genauer unter die Lupe genommen. Die Hacker-Gruppe REvil nutze den amerikanischen Unabhängigkeitstag am 04. Juli für den größten Supply Chain-Angriff seit der Attacke auf Sunburst Ende 2020.
Die REvil-Gruppe zeigt sich laut Check Point besonders aktiv in Sachen Ransomware.
Die Angreifer von REvil bedienten sich eines Zero-Day-Exploit in der Software von Hersteller Kaseya als Einfallstor, um Ransomware in Unternehmen einzuschleusen und diese zu erpressen. Betroffen sind zwischen 800 und 1500 Unternehmen aus 17 Ländern, das bestätigte Fred Voccola, Vorstandsvorsitzender von Kaseya, gegenüber der Nachrichtenagentur Reuters.

Das gesamte geforderte Lösegeld der Angreifer liegt im Millionenbereich. Bereits in den letzten Wochen beobachteten die Sicherheitsforscher [1] von Check Point ansteigende Aktivität von REvil-Hackern: In den vergangenen zwei Monaten verzeichneten sie 15 neue REvil-Angriffe pro Woche, die meisten davon in den Vereinigten Staaten, Deutschland, Brasilien und Indien. Im Vergleich zum vergangenen Jahr stieg die Anzahl an Ransomware-Angriffen allgemein und global um 93 Prozent.

"Im Jahr 2021 wurden bereits Rekorde für Cyberangriffe gebrochen," erläutert Christine Schönig, Regional Director Security Engineering CER, Office of the CTO bei Check Point Software Technologies GmbH: "Der Anstieg von Ransomware-Angriffen liegt bei einem Allzeithoch von 93 Prozent weltweit, der aller Attacken in der EMEA-Region bei 97 Prozent und das nur in den letzten 12 Monaten. Noch nie gab es so viele Opfer von Ransomware-Angriffen von denen ein unbekanntes Ausmaß nicht nur allein die USA betrifft, sondern vermehrt sind es auch europäische Unternehmen, die hier ins Visier geraten sind. Wer Kaseya VSA verwendet, trennt es am besten umgehend vom Netzwerk, obwohl es schon zu spät sein könnte."

REvil wählte den 4. Juli laut Christine Schönig als Zeitpunkt des Angriffs aus einem bestimmten Grund nämlich mangelnde Aufmerksamkeit. Am Nationalfeiertag der USA steht häufig nur eine Notbesetzung zur Verfügung und diese Tatsache öffnete die Hintertür zu über tausend Unternehmen über die wiederum zahlreiche weitere Unternehmen kompromittiert werden konnten.

IT-Mitarbeiter waren für die Feierlichkeiten im Land offline und die eingesetzte Notbesetzung arbeitete in der Regel weniger umsichtig. Diese Tatsache hätte den Bedrohungsakteuren in mehrfacher Hinsicht in die Hände gespielt: Die Ransomware konnte vollständig zum Einsatz gebracht werden, bevor jemand etwas gemerkt hat. Zusätzlich sei die Panik während der Reaktionsmaßnahmen größer, wenn wichtige Ansprechpartner nicht verfügbar seien, um zu entscheiden. Das erhöhe das Maß an Fehlentscheidungen und auch die Wahrscheinlichkeit einer Lösegeldforderung nachzugeben.
8.07.2021/dr

Tipps & Tools

Intensiv-Seminar "Aufbau einer PKI unter Windows Server" [2.08.2021]

Microsoft verwendet Zertifikate für mehrere PKI-fähige Produkte, daher bedarf es sowohl innerhalb der Organisation als auch für externe Partner einer fehlerfreien Zertifikatausstellung. Anfang September erfahren Sie in unserem Intensiv-Seminar in Hamburg, was Sie beim Aufbau einer Public-Key-Infrastruktur unter Windows Server beachten müssen. Dabei zeigen wir unter anderem, wie Sie PKI-fähige Anwendungen identifizieren und eine Testumgebung aufbauen und konfigurieren. Zögern Sie nicht zu lange – und sichern Sie sich einen der letzten Restplätze für das Intensiv-Seminar! Abonnenten nehmen wie immer zum Vorzugspreis teil. [mehr]

Sicherheitslücke in systemd begünstigt Denial-of-Service-Attacken [30.07.2021]

Das Qualys Research Team hat eine schwerwiegende Sicherheitslücke in Linux-Betriebssystemen identifiziert. Für den den systemd-Daemon betreffenden Bug weit verbreiteter OS wie RHEL 8 und Debian 10 ist ein Patch verfügbar. [mehr]

Fachartikel

SOC-Grundlagen: Weniger Fehlmeldungen durch besseren Kontext [21.07.2021]

Wer als Sicherheitsspezialist in einem Security Operations Center arbeitet, der wird tagein, tagaus mit einer schier endlosen Flut an Meldungen konfrontiert. Jedoch sind nicht alle dieser Nachrichten wirklich sicherheitsrelevant, denn bei einem Großteil handelt es sich um Fehlalarme oder unwichtige Informationen. Der Artikel erklärt, wie mehr Datenkontext dabei helfen kann, zwischen echten Signalen und sogenanntem Rauschen zu unterscheiden, um dem Problem der Alarmmüdigkeit entgegenzuwirken. [mehr]

Buchbesprechung

Windows 10 Power-Tipps

von Günter Born

Anzeigen