50 Millionen US-Dollar gefordert

Update: Acer wird mutmassliches Opfer der Dearcry-Ransomware

Uhr
von Rodolphe Koller und René Jaun und Übersetzung: Eric Belot

Über eine Schwachstelle in Microsoft-Exchange-Servern verteilen Cyberkriminelle die Ransomware Dearcry. Unter den mutmasslichen Opfern soll sich auch der Tech-Konzern Acer befinden. Die Rede ist von einer Lösegeldsumme in der Höhe von 50 Millionen US-Dollar.

(Source: rawpixel.com/freepik.com)
(Source: rawpixel.com/freepik.com)

Update vom 22.03.2021: Der taiwanische Computerhersteller Acer wird angeblich von Hackern erpresst. Laut eines Berichts von "der Standard", soll eine Hackergruppe namens Revil 50 Millionen US-Dollar vom Unternehmen verlangen. Es sei eine der grössten Lösegeldforderungen aller Zeiten, kommentiert das Portal. Die Cyberkriminellen seien ins Netzwerk des Unternehmens eingedrungen und drohten nun mit der Veröffentlichung von Dokumenten, sollte keine Zahlung erfolgen.

Acer selbst hat den Angriff bislang noch nicht offiziell bestätigt. Das Portal "Bleeping Computer" zitiert eine knappe Stellungnahme des Unternehmens. Darin heisst es: "Unternehmen wie wir sind ständig Angriffen ausgesetzt, und wir haben die in letzter Zeit beobachteten ungewöhnlichen Situationen an die zuständigen Strafverfolgungs- und Datenschutzbehörden mehrerer Länder gemeldet." Dasselbe Portal beruft sich gleichzeitig auf ein Mitglied der Hackergruppe, welches seine Sicht mit Screenshots eines Chats zwischen den Erpressern und Acer belegte.

Wie die Hacker ins System von Acer eindringen konnten, ist nicht bekannt. Laut "Bleeping Computer" haben Sicherheitsspezialisten unlängst festgestellt, dass die Revil-Gruppe einen Exchange-Server angriff, der über die Domain von Acer zugänglich gewesen sein soll.

Update vom 15.03.2021: Ransomware Dearcry greift Exchange-Server an

Viele Experten haben zuletzt Befürchtungen geäussert, Hacker könnten die Schwachstellen in Microsoft Exchange ausnützen. Auf der ganzen Welt beeilen sich deshalb Unternehmen, ihre Exchange-Server zu patchen. Ende vergangener Woche sind die Experten-Befürchtungen eingetroffen: Hacker nutzen über die Exchange-Schwachstellen infizierte Umgebungen aus, um Ransomware einzuschleusen.

Auf dem Blog "Bleeping Computer" berichtet ein Nutzer, dass er aufgefordert wurde, einen Drittel Bitcoin (etwa 18'000 Franken) zu zahlen, um wieder auf seine Daten zugreifen zu können. Laut Michael Gillepsie, einem im selben Blog zitierten Spezialisten, begannen die ersten Angriffe am 9. März und betrafen Server in Australien, Kanada und den USA.

"Wir haben eine neue Ransomware-Familie entdeckt und blockieren sie jetzt, nachdem Exchange-Server kompromittiert wurden", bestätigte Microsoft auf Twitter. Im Zuge dessen hat auch die Cybersecurity-Abteilung des Bundes eine Warnung herausgegeben. Die Ransomware mit dem Namen Dearcry wird mittlerweile von den meisten Antivirenprogrammen auf dem Markt erkannt.

Wettlauf gegen die Zeit zwischen Unternehmen und Hackern

Da sich Exploit-Codes bereits in freier Wildbahn befinden und eine erste Ransomware-Familie bereits einsatzbereit ist, beeilen sich Unternehmen, Patches anzuwenden. Zwischen dem 8. und 11. März sank die Zahl der verwundbaren Exchange-Server um 36 Prozent, so eine Analyse von Palo Alto. Bis zu letzterem Datum zählte das Unternehmen 2500 verwundbare Server in der Schweiz.

Auf der anderen Seite sind auch Hacker aktiv. Laut "Check Point" verdoppelt sich die Anzahl der Versuche, die Sicherheitslücke auszunutzen, alle zwei bis drei Stunden.

Exploit-Code aus Github entfernt

Microsoft entfernte auch einen Exploit-Code, den ein Forscher auf Github (das im Besitz von Microsoft ist) veröffentlicht hatte, weil Hacker damit Schaden anrichten könnten. Dieser Eingriff rief einige Spezialisten auf den Plan, da sie wissen, dass Exploit-Codes auch für Cybersicherheitsforscher nützlich sind und Microsoft diese Praxis zu tolerieren scheint, wenn die Schwachstellen andere Unternehmen betreffen.

Originalmeldung vom 12.03.2021: Angriffe auf Microsoft Exchange lassen eine Ransomware-Welle befürchten

Zuletzt hat es immer mehr Angriffe auf Microsoft Exchange gegeben. Wie Analysen von Kaspersky zeigen, gehen die Angriffe auf Exchange-On-Premise-Server weiter. Davon bleibt auch die Schweiz nicht verschont. Auch Eset macht diese Feststellung. Wie das Unternehmen berichtet, hätten seit der Veröffentlichung des Patchs bereits mehrere Hackergruppen die Sicherheitslücke ausgenutzt, um Malware einzuschleusen.

Viele Experten halten es für wahrscheinlich, dass diese Überfälle zu einer Welle von Ransomware-Angriffen führen werden. "Es ist immer noch unklar, wie die Verbreitung dieser Ausbeutung (von Sicherheitslücken) zustande kam, aber es ist unvermeidlich, dass mehr und mehr böswillige Akteure, einschliesslich Ransomware-Betreiber, früher oder später Zugang (zu On-Premise-Servern) erhalten werden", warnt Eset.

Angriffswelle auf Exchange-Server immer wahrscheinlicher

"Hacker haben Web-Shells hinterlassen, die es nun anderen ermöglichen, in diese Netzwerke einzubrechen, möglicherweise auch Ransomware-Akteuren", stimmt Dmitri Alperovitch, Mitbegründer von CrowdStrike, zu, zitiert von MIT Technology Review.

Für den Experten Brian Krebs ist das Szenario einer Welle von Ransomware-Angriffen auf Exchange sehr wahrscheinlich: "Alle Quellen, mit denen ich über diesen Vorfall gesprochen habe, erwarten, dass sich profitorientierte Cyberkriminelle auf die Opfer stürzen, indem sie massenhaft Ransomware einsetzen. Angesichts der Tatsache, dass viele Gruppen inzwischen Web-Shell-Backdoors installiert haben, wäre es trivial, Ransomware auf alle (Opfer) gleichzeitig loszulassen."

Bisher ist ein solcher Massenangriff auf Exchange-Server durch Ransomware-Betreiber noch nicht eingetreten, aber das könnte sich ändern, wenn der Code zum Eindringen in die Server öffentlich gemacht wird. "Sollte dies passieren, werden die Exploits in öffentlich zugängliche Exploit-Testkits eingebettet sein, was es jedem Angreifer leicht macht, viele Opfer zu finden und anzugreifen, die noch nicht gepatcht sind", warnt Brian Krebs.

Das Advisory Board Cybersecurity der SATW verfolgt das Ziel, sich frühzeitig mit den technologischen Herausforderungen von morgen auseinanderzusetzen und Handlungsempfehlungen aufzuzeigen. Hierfür hat es eine neue Initiative ins Leben gerufen: die Cybersecurity-Map. Mehr dazu finden Sie hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_210090

Kommentare

« Mehr