REvil stoppen: Wie Illumio eine der produktivsten Ransomware-Gruppen stören kann

Ransomware-Gruppen kommen und gehen. Aber nur wenige haben den Bekanntheitsgrad von REvil. Die Gruppe, die auch als Sodinokibi bekannt ist, und ihre Tochtergesellschaften waren in den letzten 12 bis 18 Monaten für einige der dreistesten Sicherheitsverletzungen verantwortlich. Dazu gehören Razzien bei einer Anwaltskanzlei für Prominente und einem Fleischverarbeitungsriesen, bei denen die Angreifer 11 Millionen Dollar erbeutet wurden. Weitere bemerkenswerte Kampagnen sind der ausgeklügelte Angriff auf das IT-Softwareunternehmen Kaseya und die Kompromittierung des taiwanesischen Herstellers und Apple-Kunden Quanta Computer.

Die beiden letztgenannten sind bekannt für ihre unverschämten Lösegeldforderungen von 70 Millionen US-Dollar bzw. 50 Millionen US-Dollar. Aber auch, weil sie globale Lieferketten ausnutzten, wenn auch auf unterschiedliche Weise, um ihre Ziele zu erreichen.

Und obwohl REvil in letzter Zeit durch Verhaftungen und Sanktionen gestört wurde, setzt die Gruppe Berichten zufolge ihre Operationen fort. Die gute Nachricht ist, dass Sie mit Illumio, das hochriskante Netzwerkverbindungen kartiert, überwacht und blockiert, die REvil-Bedrohung entschärfen können – und die aller Iterationen, die folgen, wenn die Gruppe letztendlich verschwindet.

Warum sind Angriffe auf die Lieferkette gefährlich?

Ransomware-Angriffe auf die Lieferkette sind gefährlich, da sie das gesamte Netzwerk vernetzter Unternehmen stören können. Diese Angriffe können die Produktion stoppen, Lieferungen verzögern und erhebliche finanzielle Verluste verursachen.

Darüber hinaus können sie zu Datenschutzverletzungen führen, bei denen vertrauliche Informationen in mehreren Unternehmen offengelegt werden, was das Vertrauen untergräbt und den Ruf schädigt.

Die gegenseitige Abhängigkeit innerhalb der Lieferketten bedeutet, dass ein Angriff auf ein Unternehmen einen Kaskadeneffekt haben kann, der sich auf viele andere Unternehmen auswirkt und möglicherweise weitreichende wirtschaftliche Folgen hat.

Die Razzia bei Quanta Computer im April 2021 war clever. Als wichtiger Partner für die Auftragsfertigung von Apple hat das Unternehmen Zugang zu einigen hochsensiblen Blaupausen und Produkt-IP. Er könnte auch, so REvil, weniger gut geschützt sein als der Tech-Riese aus Cupertino.

Als Quanta sich weigerte zu zahlen, ging die Gruppe zu Apple, um das Lösegeld zu fordern, andernfalls würden sie die gestohlenen Dokumente durchsickern lassen oder verkaufen. Wir wissen nicht, ob sie erfolgreich waren, aber Berichten zufolge wurden anschließend alle Daten im Zusammenhang mit der Razzia von der REvil-Leak-Site entfernt .

Was sagt uns dieser Vorfall? Erstens kann Ihr Unternehmen zu einem Ziel von Ransomware/REvil werden, wenn es mit hochwertigen Partnern Geschäfte macht. Und zweitens sind Sie nur so sicher wie Ihre am wenigsten sicheren Lieferanten.

Wie funktioniert REvil?

Der Quanta-Angriff selbst enthielt einige einzigartige Elemente. Aber das allgemeine Muster – die Ausnutzung verwundbarer, nach außen gerichteter Software oder Dienste – wurde in unzähligen Kampagnen verwendet. 

In diesem Fall zielte REvil auf eine Schwachstelle in der Oracle WebLogic Software ab. Auf diese Weise konnten die Bedrohungsakteure einen kompromittierten Server zwingen, Malware herunterzuladen und auszuführen, ohne dass der Benutzer eingreifen musste. Es gab zwei Hauptphasen:

1. Die Angreifer stellten eine HTTP-Verbindung zu einem ungepatchten WebLogic-Server her und zwangen ihn dann, die Ransomware-Variante Sodinokibi herunterzuladen. Sie verwendeten einen PowerShell-Befehl, um eine Datei mit dem Namen "radm.exe" herunterzuladen von bösartigen IP-Adressen und zwang dann den Server, die Datei lokal zu speichern und auszuführen.
2. Die Angreifer versuchten, Daten im Benutzerverzeichnis zu verschlüsseln und die Datenwiederherstellung zu stören, indem sie "Schattenkopien" der verschlüsselten Daten löschten, die Windows automatisch erstellt.

Wie können Sie REvil stoppen?

Eine gute Cyberhygiene, wie z. B. das schnelle Patchen von Endpunkten mit hohem Risiko, kann dazu beitragen, die Angriffsfläche für Unternehmen zu verringern. Darüber hinaus können aber auch auf Netzwerkebene umfassendere Maßnahmen ergriffen werden.

Unternehmen müssen verstehen, dass selbst vertrauenswürdige Kanäle und Software von Drittanbietern zu einem Kanal für Malware und Ransomware werden können. Um dieses Risiko zu mindern, müssen alle Standardlösungen vom Rest der Umgebung segmentiert werden, insbesondere von Sicherheitstools wie Endpoint Detection and Response (EDR) und Extended Detection and Response (XDR).

Unternehmen sollten auch in Erwägung ziehen , nicht unbedingt erforderliche ausgehende Verbindungen zu identifizieren und einzuschränken. Das bedeutet, dass alles außer der Kommunikation mit autorisierten Ziel-IPs blockiert wird, auch auf den Ports 80 und 443. Dadurch werden Bedrohungsakteure gestört, die versuchen, Command-and-Control-Server (C&C) zu kontaktieren, um zusätzliche Tools herunterzuladen, um Angriffe durchzuführen. Außerdem werden Versuche blockiert, Daten aus der Organisation auf Server unter ihrer Kontrolle zu exfiltrieren.

Wie Illumio helfen kann

Die fortschrittliche Zero-Trust-Segmentierungstechnologie von Illumio bietet ein müheloses, skalierbares Richtlinienmanagement, um kritische Assets zu schützen und Ransomware zu isolieren. Illumio ermöglicht es Sicherheitsteams, Einblick in Kommunikationsflüsse und risikoreiche Pfade zu erhalten. Dann setzen wir eine vollständige Segmentierungskontrolle bis hinunter zur Workload-Ebene durch, um Ihre Angriffsfläche drastisch zu reduzieren und die Auswirkungen von Ransomware zu minimieren.

In drei einfachen Schritten kann Illumio Ihr Unternehmen vor Ransomware wie REvil schützen:

1. Ordnen Sie alle wichtigen und nicht wesentlichen ausgehenden Kommunikationen zu
2. Schnelle Bereitstellung von Richtlinien, um die Kommunikation in großem Umfang einzuschränken
3. Überwachen Sie alle ausgehenden Verbindungen, die nicht geschlossen werden können
    

Weitere Best Practices zum Aufbau von Resilienz gegen Ransomware:

• Lesen Sie unser E-Book "Wie man Ransomware-Angriffe stoppt"
• Laden Sie die Infografik herunter: 3 Schritte zum Stoppen von Ransomware
• Registrieren Sie sich für die Hands-on-Labs von The Illumio Experience , um sich selbst von den risikobasierten Transparenz- und Zero-Trust-Segmentierungsfunktionen von Illumio zu überzeugen