Apple im Visier eines Lösegeldangriffs auf Quanta | Hacker fordern 50 Millionen Dollar
Seit Beginn der Pandemie im Dezember 2019 sind Ransomware-Angriffe deutlich gestiegen. Tatsächlich zeigen mehrere Berichte, dass bis Ende 2020 Ransomware-Angriffe um mindestens 150% zugenommen haben, und die durchschnittlich geforderte Lösegeldsumme hat sich auf etwa 170.000 US-Dollar verdoppelt. Cyberkriminelle zielen in der Regel auf Unternehmen mit hohen Einnahmen ab, da hier das Potenzial für hohe Auszahlungen besteht. Es ist ebenfalls ein Trend geworden, große Technologiehersteller ins Visier zu nehmen.
Im November 2020 war beispielsweise Foxconn Ziel eines Ransomware-Angriffs, bei dem die Hacker verantwortlich Terabytes von Backup-Daten von über tausend verschlüsselten Servern löschten. Die Angreifer forderten 34 Millionen US-Dollar, bevor sie die verschlüsselten Daten freigeben würden. Zum Kontext, Foxconn ist der größte Elektronikgerätehersteller für Unternehmen wie Amazon, Sony, Microsoft und Apple. Noch im selben Monat wurde ein weiterer Hersteller (Compal) mit einem Ransomware-Angriff ins Visier genommen.
Das zeigt, dass große Technologiehersteller nun dem Risiko ausgeklügelterer Ransomware-Angriffe ausgesetzt sind. Der jüngste Angriff ereignete sich wenige Tage vor Ende April 2021. Quanta, ein Unternehmen mit Sitz in Taiwan, das Laptops für große Technologieunternehmen, einschließlich Apple, produziert, wurde von einem Ransomware-Angriff getroffen, der Apple 50 Millionen US-Dollar kosten könnte.
Was ist Ransomware?
Ransomware ist eine Form von Malware (bösartiger Software), die Zugang zu einem Computer erhält und Dateien oder Systeme gezielt verschlüsselt und unzugänglich macht, um das Unternehmen oder den Eigentümer zur Zahlung zu zwingen. Aus dem Wort „Lösegeld“ geht das endgültige Ziel aller Ransomware-Angriffe hervor – vom Opfer ein Lösegeld für die Freigabe der als Geiseln gehaltenen Dateien oder Systeme zu fordern. Sobald das Opfer zahlt, geben die Angreifer einen Entschlüsselungsschlüssel frei, den das Opfer zum Entschlüsseln der verschlüsselten Dateien oder Systeme verwendet.
Die erste Form von Ransomware-Angriffen gab es schon 1989. Seither haben bösartige Instanzen den technologischen Fortschritt genutzt, um ausgefeiltere Angriffe durchzuführen. Die Evolution von Ransomware hat dazu geführt, dass Cyberkriminelle Dienste wie Ransomware-as-a-Service (RaaS) anbieten, um ihr Netzwerk und ihre Fähigkeiten zu erweitern. Mobile Ransomware-Angriffe kommen nun auch häufig vor, und mit dem rasanten Wachstum der Technologie des Internet of Things werden wir mit hoher Wahrscheinlichkeit neue Angriffe sehen.
REvil Hackergruppe nimmt Apple durch Quanta ins Visier
Am 20. April 2021, während Apple seine neuesten Gadgets auf dem Spring Loaded Event präsentierte, wurde einer der größten Laptop-Hersteller der Welt von einem Ransomware-Angriff der russischen Hackergruppe REvil getroffen. Quanta stellt für Apple unter anderem MacBooks her. REvil, auch bekannt als Sodinokibi, zeigte Beweise für seinen erfolgreichen Angriff, indem es die Entwürfe der neuesten Apple-Produkte veröffentlichte, darunter das bereits veröffentlichte 2020er M1 MacBook Air und die neuen iMac-Designs.
Ein paar Tage vor den Datenlecks deutete ein Benutzer mit dem Benutzernamen UNKN in XSS (ein beliebtes Forum für Cyberkriminalität) an, dass eine große Ankündigung bevorstehe, und rief Hacker auf, sich der Gruppe anzuschließen. Wir glauben, dass dieser Benutzer die REvil-Ransomware-Gruppe repräsentiert, die mit der Verkündung solcher Nachrichten und der Rekrutierung neuer Partner für ihr Ransom-as-a-Service-Programm betraut ist.
Quanta hat den Angriff bestätigt. Es sagte auch, sein Sicherheitsteam reagiere auf den Angriff, aber es gebe keine signifikanten Auswirkungen auf den Geschäftsbetrieb. In der Erklärung des Unternehmens hieß es: „Wir haben die zuständigen Strafverfolgungs- und Datenschutzbehörden über die jüngst beobachteten ungewöhnlichen Aktivitäten informiert und stehen mit ihnen in ständigem Austausch. Auf den Geschäftsbetrieb des Unternehmens hat dies keinen wesentlichen Einfluss.“ Das Unternehmen hat inzwischen seine Cybersicherheitsinfrastruktur aufgerüstet, um ein erneutes Auftreten zu verhindern.
Die Angreifer forderten 50 Millionen Dollar für die Bilder, aber Quanta weigerte sich zu zahlen, was sie veranlasste, sich an das wertvollste Unternehmen der Welt zu wenden. Deshalb veröffentlichte die REvil-Gruppe am selben Tag wie das Spring Loaded Event von Apple etwa 21 Bilder von MacBook-Entwürfen; eine Aussage, die wahrscheinlich nicht unbemerkt bleiben wird.
Die Gruppe hat auch damit gedroht, jeden Tag neue Daten zu veröffentlichen, bis Apple das Lösegeld zahlt, und hat eine Frist bis zum 1. Mai gesetzt. REvil enthüllte all diese Informationen über ihren „Happy Blog“, eine Seite, die sie nutzt, um ihre Hacking-Exploits öffentlich zu teilen. Apple hat bisher keine Erklärungen zu dem Angriff abgegeben und keine Anzeichen dafür gegeben, dass es das Lösegeld zahlen wird.
Eine Geschichte der Hackergruppe REvil und ihrer Taten
Sodinokibi, besser bekannt als REvil, hat sich durch seine Ransomware-Angriffe einen Namen gemacht. Experten aus dem Bereich der Informationssicherheit sind der Ansicht, dass diese Gruppe ihren Ursprung in Russland hat, da sie sich weigert, russische oder staatliche Unternehmen anzugreifen. Sie vermuten zudem, dass die Gruppe eine Abspaltung von einer vorherigen schadhaften Gruppe – GandCrab – ist. GandCrab war ähnlich produktiv wie REvil heute und erpresste in fast zwei Jahren etwa 2 Milliarden Dollar. Ungefähr zur selben Zeit, als GandCrab seine Operationen einstellte, wurde REvil prominent.
Im Gegensatz zu den meisten Hackergruppen betreibt REvil ein anderes Modell, das es ihr ermöglicht, mehr Geld zu verdienen. Es verwendet ein Ransomware-as-a-Service (RaaS) Modell, bei dem es Malware an vertrauenswürdige Partner lizenziert. Ein Teil des Lösegelds wird dann eingestrichen, wenn diese einen Angriff erfolgreich durchführen. REvil verwendet außerdem eine sogenannte doppelte Erpressungsmethode, um die Zahlungsbereitschaft der Opfer zu erhöhen. Das bedeutet, dass REvil nach der Verschlüsselung der Daten auch alles, was möglich ist, auf seine Server überträgt und droht, es zu verkaufen.
Selbst wenn ein Unternehmen Backups hat, muss es möglicherweise noch Lösegeld zahlen, wenn die Hackergruppe sensitive Informationen auf ihre Server übertragen hat. Es besteht auch die Möglichkeit, einen DDoS-Angriff auf dasselbe Opfer durchzuführen, um den Druck zu erhöhen und es zur Zahlung des Lösegelds zu zwingen. Es stellt sich die Frage, warum diese Gruppe alles tut, um Geld aufzutreiben. Ist es, um lukrativere Angriffe zu finanzieren oder handelt es sich lediglich um pure Gier?
Schauen wir uns nun einige der weitreichenden Angriffe an, die diese Gruppe in der Vergangenheit durchgeführt hat.
1. Lokale Regierungen in Texas
In den frühen Morgenstunden des 16. August 2019 griff REvil 23 Lokalregierungen in Texas an und forderte ein Lösegeld von 2,5 Millionen Dollar. Die Mitarbeiter dieser Behörden hatten keinen Zugriff auf Dateien, zu denen sie normalerweise Zugriff hatten. Es handelte sich um einen koordinierten Angriff von REvil, der die Systeme und Websites der Behörden lahmlegte. Glücklicherweise griff REvil ihre Backup-Systeme nicht an, sodass sie den Forderungen nicht nachgaben. Nach der Koordination mit mehreren Cybersicherheitsteams konnten diese Behörden den Zugriff auf Dateien und Systeme wiederherstellen, die die REvil-Gruppe als Geiseln hielt.
2. Travelex
Travelex ist ein Unternehmen, das sich mit dem Umtausch von Fremdwährungen auf der ganzen Welt befasst. Es ist sehr populär auf Flughäfen, da es den Prozess des Umtauschs von lokaler Währung in eine andere Währung erleichtert. Am 31. Dezember 2019 erlangte REvil Zugang zum Netzwerk von Travelex. Dies geschah, weil Travelex einen veralteten VPN benutzte und die REvil-Gruppe die Schwachstellen in der ungepatchten Software ausnutzte. Nachdem sie in ihr Netzwerk eingedrungen waren, verbreitete REvil eine Ransomware, die das gesamte Netzwerk von Travelex lahmlegte und ein Lösegeld von 2,3 Millionen Dollar forderte.
Travelex gab jedoch nicht bekannt, dass sie Opfer eines Ransomware-Angriffs geworden waren. Stattdessen erklärten sie, ihre Systeme würden gewartet. Dann zahlten sie heimlich das Lösegeld und stellten den Zugang zu ihrem Netzwerk und ihren Systemen wieder her. Unglücklicherweise für sie kam die Wahrheit an die Öffentlichkeit, und sie verloren das Vertrauen der Menschen. Es ist eine Sache, Opfer eines Angriffs aufgrund von schlechten Sicherheitsrichtlinien zu sein, aber seine Kunden und die Öffentlichkeit darüber zu belügen, ist ein schwerwiegender Verstoß. Travelex spürt noch immer die Auswirkungen seines Handelns.
3. Grubman Shire Meiselas & Sacks
Im Mai 2020 erlangte REvil Zugang zu mehr als 750 GB privater Rechtsdokumente. Grubman Shire Meiselas und Sacks ist eine Anwaltskanzlei, die mehrere Prominente vertritt, darunter den ehemaligen US-Präsidenten Donald Trump. REvil setzte zunächst ein Lösegeld von 21 Millionen Dollar fest, erhöhte den Betrag aber, nachdem sie die Daten von Trump gesehen hatten. Die Anwaltskanzlei folgte dem Rat des FBI, nicht zu zahlen, und REvil versteigerte die Daten im Dark Web.
Schlussfolgerung
Die zunehmende Anzahl von Angriffen auf Unternehmen, die Hardware für führende Technologieunternehmen herstellen, sollte Anlass zur Sorge sein. Es ist offensichtlich, dass diese Unternehmen aufgrund ihrer Verbindungen zu den Giganten der Technologiebranche ins Visier genommen werden. Solche Angriffe erinnern uns daran, dass Unternehmen die Cybersicherheit äußerst ernst nehmen sollten, denn die Kosten für den Aufbau einer angemessenen Abwehr gegen Angriffe sind in der Regel geringer als die Kosten zur Wiederherstellung von Vermögenswerten.