Schadcode-as-a-Service: Erpressersoftware-Gang REvil wieder im Geschäft?

Software-as-a-Service – was bei uns, der SIEVERS-GROUP, ein Geschäftsmodell ist, das geschätzt wird und mit dem wir unsere Kunden glücklich machen, bedeutet für die russische Untergrundorganisation Sodinokibi jedoch seit Beginn ihrer Tätigkeit 2019, Cyberkriminellen systematisch Schadsoftware-Modelle anzubieten. Im Falle einer Ausbeute erhalten die kriminellen Entwickler einen Anteil.

Im Mittelpunkt solcher Verbrechen landen immer wieder große IT-Dienstleister, dessen Kunden durch eine Sicherheits-Schwachstelle attackiert werden können. Die Tücke dabei ist die Ausbreitung über Kundenbeziehungen. So werden IT-Dienstleister, die selbst in Abhängigkeit zu einem infizierten Software-Partner stehen, nicht nur mitinfiziert, sondern bringen ihren Kundenstamm mit in Gefahr. Im Anschluss folgt die Lösegeldforderung. Diesen Sommer geriet so der US-amerikanische IT-Dienstleister Kaseya in die Schlagzeilen. Nach Informationen von tagesschau.de waren Kunden in über 17 Ländern betroffen. Bei dem Versenden des individuellen Schlüssels für Kaseya passierte der Verbrecherorganisation ein folgenreicher Fehler.

Unter dem Namen REvil tauchten im September in einem Untergrundforum Beiträge auf, dem Dienstleister Kaseya wäre im Zuge der Übergabe des individuellen Entsperrschlüssels versehentlich der sogenannte Universalschlüssel zugeschickt worden. Außerdem sei ein Mitglied der Verbrecherorganisation verschwunden und ein von ihnen genutztes System manipuliert worden, woraufhin sie vorläufig alles abschalteten.

Inzwischen ist der sogenannte „Happy Blog“ der Bande wieder online, nach Informationen von heise.de inklusive vertraulicher Informationen von Erpressungsopfern. Alles deutet darauf hin, dass die cyberkriminelle Untergrundgruppe ihre Arbeit, mit Schadsoftwarevarianten zu handeln, wieder aufgenommen hat. Daher ist es weiterhin extrem wichtig, die IT-Security des eigenen Unternehmens zu hinterfragen. 

Autor: Lasse Beckmann, Marketing