Contact
QR code for the current URL

Story Box-ID: 1066625

Sophos Technology GmbH Gustav-Stresemann-Ring 1 65189 Wiesbaden, Germany http://www.sophos.de
Contact Mr Thilo Christ +49 8081 954617

Kommentar von Mark Loman, Director of Engineering bei Sophos, zur aktuellen REvil-Ransomwareattacke über Kaseya

(PresseBox) (Wiesbaden, )
„Sophos hat seit Bekanntwerden der neuesten Attacke mit der Ransomware REvil zahlreiche Untersuchungen vorgenommen und den Angriff in die Rubrik ‚Supply Chain Distribution‘ eingeordnet. Die Kriminellen nutzen Managed Service Provider (MSP) als ‚Vertriebsplattform‘, um so viele Unternehmen wie möglich zu treffen, unabhängig von Größe oder Branche. Wir sehen hier ein wiederkehrendes Muster, da Angreifer ihre Methoden ständig mit der Maxime anpassen, eine größtmögliche Wirkung zu erzielen, sei es in finanzieller Hinsicht oder zum Stehlen von Anmeldedaten und anderen proprietären Informationen, die sie später nutzen könnten. Bei anderen groß angelegten Angriffen, die wir in der Vergangenheit gesehen haben, wie etwa WannaCry, war die Ransomware selbst der Verteiler. Im aktuellen Fall war kurz nach dem Angriff klar, dass ein Partner von REvil Ransomware-as-a-Service (RaaS) einen Zero-Day-Exploit nutzte, um die Ransomware über die Virtual Systems Administrator (VSA)-Software von Kaseya zu verteilen. Normalerweise bietet diese Software einen äußerst vertrauenswürdigen Kommunikationskanal, der MSPs unbegrenzten privilegierten Zugriff ermöglicht, um vielen Unternehmen bei ihren IT-Umgebungen zu helfen. Genau diese Plattform wurde nun als Verteiler für die Ransomware umfunktioniert.“

„Einige erfolgreiche Ransomware-Gruppierungen haben in letzter Zeit Lösegeld in Millionenhöhe erbeutet, wodurch sie möglicherweise sehr wertvolle Zero-Day-Exploits erwerben können. Bestimmte Exploits sind bislang normalerweise nur auf Nationalstaaten-Ebene realisierbar gewesen, die diese Tools normalerweise ganz gezielt für einen bestimmten, isolierten Angriff einsetzen. In den Händen von Cyberkriminellen kann ein solcher ‚Premium-Exploit‘ für eine Schwachstelle in einer globalen Plattform viele Unternehmen gleichzeitig treffen und Auswirkungen auf unser tägliches Leben haben.“

Basierend auf Sophos Threat Intelligence war REvil in den letzten Wochen besonders aktiv, unter anderem beim JBS-Angriff, und ist derzeit die dominierende Ransomware-Gang, die an den defensiven Managed-Threat-Response-Fällen von Sophos beteiligt ist. Ein Beispiel für die Lösegeldforderung sieht wie folgt aus:

Weitere Informationen zum Thema:

Kaseya VSA Supply Chain Ransomware Attack – Sophos News, updated regularly 

Kaseya VSA Supply Chain Ransomware Attack – Sophos Community, updated regularly 

Relentless REvil, Revealed: RaaS as Variable as the Criminals Who Use it – SophosLabs Uncut 

What to Expect When You’ve Been Hit by REvil – Sophos SecOps 

MTR in Real-Time: Hand-to-Hand Combat with REvil Ransomware Chasing a $2.5 Million Payday – Sophos SecOps 

 

Website Promotion

Website Promotion
The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.
Important note:

Systematic data storage as well as the use of even parts of this database are only permitted with the written consent of unn | UNITED NEWS NETWORK GmbH.

unn | UNITED NEWS NETWORK GmbH 2002–2024, All rights reserved

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.