REvil Ransomware-Befall bei Acer? (März 2021)

Gibt es beim in Taiwan angesiedelten Computerhersteller Acer einen Befall der IT mit Ransomware? Der Hersteller hat aktuell ein "anormales Verhalten" seiner IT-Systeme eingestanden. Die REvil Ransomware-Gruppe behauptet, Systeme des Computerherstellers infiziert und Dokumente abgezogen zu haben. Es steht der Verdacht im Raum, dass die ProxyLogon-Schwachstellen im Microsoft Exchange eine Rolle beim Angriff gespielt haben könnten. Ergänzung: REvil will 50 Millionen US-Dollar von Acer.

REvil-Gang veröffentlicht Daten

Die REvil Ransomware-Gang reklamiert einen erfolgreichen Angriff auf den Elektronik- und Computerriesen Acer. Die Gruppe behauptet unverschlüsselte Daten von Acer IT-Systemen gestohlen zu haben. Auf der Seite der Gruppe wurde zumindest Screenshots der erbeuteten Dokumente veröffentlicht, wie dieser Tweet angibt und die Kollegen von Bleeping Computer hier ebenfalls schreiben.

REvil Ransomware-Gang veröffentlicht Acer-Daten, Zum Vergrößern klicken

Die Leute von godecrypt.com haben dann bei Acer nachgefragt und erhielten nur ausweichende (gelöscht). Die von Bleeping Computer veröffentlichte Stellungnahme, die auch hier nachzulesen ist, gibt nicht viel her.

Acer routinely monitors its IT systems, and most cyberattacks are well defensed. Companies like us are constantly under attack, and we have reported recent abnormal situations observed to the relevant law enforcement and data protection authorities in multiple countries.

We have been continuously enhancing our cybersecurity infrastructure to protect business continuity and our information integrity. We urge all companies and organizations to adhere to cyber security disciplines and best practices, and be vigilant to any network activity abnormalities.

Man habe also "abnormale Situationen" beobachtet, was alles und nichts bedeuten kann. Ergänzung: REvil will 50 Millionen US-Dollar von Acer. Das französische Magazin LeMagit hat diese Information hier veröffentlicht. Die Cyberkriminellen boten Acer einen Rabatt von 20 % auf den geforderten Betrag an, sofern die Zahlung bis zum 17. März bei ihnen eingeht. Derzeit werden 50 Millionen Dollar gefordert. Acer hat 10 Millionen Dollar angeboten. Die Angreifer geben Acer bis zum 28. März Zeit, ihre Forderungen zu erfüllen oder einen Vergleich zu schließen. Nach dieser Frist werden sie 100 Millionen Dollar verlangen. Das sind schon Rekordsummen, die da verlangt werden. Ergänzung 2: Inzwischen ist hier ein Screenshot aus einem anderen Darknet-Forum mit der Forderung aufgetaucht. Laut der verlinkten Seite, die auch einen Chat-Verlauf dokumentiert, sind die "Verhandlungen" zwischen REvil und Acer inzwischen an "einem toten Punkt" angekommen.

War es Exchange?

godecrypt.com (gelöscht) den Sicherheitsforscher Vitali Kremez, dass die Andariel-Cyberintelligenz-Plattform von Advanced Intel festgestellt hat, dass die Revil-Bande kürzlich einen Microsoft Exchange-Server auf der Domäne von Acer ins Visier genommen hat. "Das Andariel-Cyberintelligenzsystem von Advanced Intel hat festgestellt, dass ein bestimmtes REvil-Mitglied die Übernahme von Microsoft Exchange anstrebte", sagte Kremez gegenüber BleepingComputer.

Es ist bekannt, dass die Bedrohungsakteure hinter der DearCry-Ransomware die ProxyLogon-Schwachstelle in Microsofts Exchange Servern bereits genutzt haben, um diese mit ihrer Ransomware zu infizieren. Allerdings sind dies bisher nur eine kleinere Operation mit weniger Opfern gewesen. Sollte REvil die jüngsten Microsoft Exchange-Schwachstellen ausnutzen, um Daten zu stehlen oder Geräte zu verschlüsseln, dürften wir bald von einigen Opfern hören. Und Acer wäre dann ein prominenter, großer Fall einer Ransomware-Infektion mit diesem Angriffsvektor.