Ransomware Group fordert 70 Millionen Dollar Bitcoin-Zahlung, um infizierte Computer freizuschalten
Die REvil-Gruppe hat erneut zugeschlagen, über eine Million Systeme verschlüsselt und eine Zahlung von 70 Millionen US-Dollar in Bitcoin gefordert, um den "universellen Entschlüsseler" freizugeben, um die verschlüsselten Dateien auf jedem betroffenen System zu entsperren.
Schätzungen gehen von rund 200 betroffenen Unternehmen aus, von denen etwa 40 von Kaseya, dem Managed Service Provider (MSP), angegriffen wurden, von dem angenommen wird, dass er im Mittelpunkt dieses Angriffs auf die Lieferkette steht.
REvil Group fordert 70 Millionen US-Dollar Bitcoin-Zahlung für Decryptor
Am 2. Juli 2021 verbreiteten sich Berichte über einen weiteren großen Ransomware-Angriff im Internet. Etwa 30 MSPs wurden ins Visier genommen, von denen Hunderte von Unternehmen und theoretisch Millionen einzelner Computer betroffen waren.
Es stellte sich schnell heraus, dass das berüchtigte Verbrechersyndikat REvil hinter dem Ransomware-Angriff steckte, wobei die Gruppe Lösegelder von bis zu 50.000 US-Dollar forderte, um einzelne Systeme freizuschalten, wobei größere unternehmensweite Entschlüsselungsschlüssel für bis zu 5 Millionen US-Dollar angeboten wurden, wobei alle Zahlungen in Bitcoin getätigt wurden.
Am späten Sonntag, den 4. Juli 2021, enthüllte jedoch ein Update der dunklen Website von REvil, dass die kriminelle Organisation jedem betroffenen Unternehmen und jeder betroffenen Organisation einen universellen Entschlüsselungsschlüssel liefern würde – für die kühle Gebühr von 70 Millionen US-Dollar.
REvil trifft 200 Unternehmen bei Supply-Chain-Angriff
Laut einem Bericht der BBC sind rund 200 US-amerikanische Unternehmen von Ransomware betroffen. Die Folgewirkung des Angriffs war jedoch viel größer. Aufgrund der Natur eines Supply-Chain-Angriffs , bei dem das erste Opfer oft ein Sprungbrett für sekundäre Opfer ist, hat der REvil-Ransomware-Angriff mehrere weitere Opfer.
In Schweden mussten 500 Coop-Supermärkte und 11 Schulen in Neuseeland schließen, und mehrere andere kleine Vorfälle verbreiteten sich weltweit. Zu den Opfern gehören laut Kaseya-CEO Fred Voccola vor allem "Zahnpraxen, Architekturbüros, Zentren für plastische Chirurgie, Bibliotheken und dergleichen".
Es wird angenommen, dass es noch mehr Opfer gibt, von denen viele den Ransomware-Verstoß noch nicht melden oder offenlegen oder ob sie versucht haben, das Lösegeld zu zahlen.
Niederländische Sicherheitsforscher melden Zero-Day-Sicherheitslücke in Kaseyaya
In einem letzten Schlag enthüllten Sicherheitsforscher des niederländischen Instituts für die Offenlegung von Sicherheitsrisiken, dass sie Kaseya zuvor wegen mehrerer Zero-Day-Sicherheitslücken (nachverfolgt unter CVE-2021-30116 ) gemäß den Richtlinien für verantwortungsvolle Offenlegung kontaktiert hatten.
Die Forscher arbeiteten mit Kayesa zusammen, "unseren Input zu dem Geschehenen zu geben und ihnen zu helfen, damit umzugehen. Dazu gehörten auch Listen mit IP-Adressen und Kunden-IDs von Kunden, die noch nicht geantwortet hatten, die sie umgehend telefonisch kontaktierten."
Die größte Erkenntnis ist jedoch, dass Kayesa vor dem Eintreffen der REvil-Ransomware von der gefährlichen Schwachstelle wusste, die für die vielen betroffenen Unternehmen zu einem großen Problem im Post-Mortem-Prozess werden könnte.