Die Ransomware-Gruppe hatte in den letzten sechs Monaten auf sensible Daten von Anwaltskanzleien abgesehen
Den Betreibern der REvil Ransomware-Gruppe gelang es, durch Diebstahl der Daten zweier in den USA ansässiger Anwaltskanzleien Chaos anzurichten. REvil hat im DarkNet eine Auktion eingerichtet, bei der Käufer für den Zugriff auf die gestohlenen Daten bieten können. Medienberichten zufolge sind in den letzten sechs Monaten mehr als sieben Fälle von Ransomware-Angriffen auf Anwaltskanzleien nachgewiesen.
Die meisten dieser Angriffe gehen auf die REvil-Bande zurück, die auch als Sodin und Sodinokibi bekannt sind, es handelt sich um einen Ransomware-as-a-Service-Operator (RaaS). Der Ransomware-Vorgang verletzt Unternehmensnetzwerke mithilfe von Spam, Remotedesktopdiensten und Exploits. Dann breitet es sich heimlich seitlich im Unternehmen aus und stiehlt unverschlüsselte Daten von exponierten Servern.
Hat die Software Zugriff auf den Domänencontroller, stellen die Operatoren die Ransomware bereit, um alle Computer im Netzwerk zu verschlüsseln. Die Betreiber fordern im Anschluss Lösegeld, das normalerweise in Bitcoin oder einer anderen Kryptowährung zu entrichten ist. Die REvil-Betreiber haben auch eine Datenleck-Seite, auf der vertrauliche gestohlene Informationen veröffentlicht werden, wenn die Zahlen von Lösegeld ausbleibt. Sie haben zudem begonnen, gestohlene Daten auf der Website an Höchstbietende zu versteigern.
Am 6. Juni erschienen 50 GB Daten von Fraser Wheeler & Courtney LLP sowie ein Volumen von 1,2 TB Daten aus der Datenbank von Vierra Magen Marcus LLP auf REvils offiziellem Blog im DarkNet. Die versteigerten Daten umfassen vertrauliche Informationen von Kundeninformationen über interne Unternehmens-Dokumentation des Unternehmens und Patentvereinbarungen bis hin zu Geschäftsplänen und Projekten im Zusammenhang mit neuen Technologien, für die erst noch Patente beantragt werden müssen.
Das Unternehmen Vierra Magen Marcus LLP hat sich auf das Recht des geistigen Eigentums spezialisiert. Zum Kundenkreis zählen mehr als 650 Einzelpersonen, aber auch bekannte Unternehmen wie Toshiba, Seagate und Nissan. Der Startpreis für die Versteigerung der Daten von Fraser Wheeler & Courtney beträgt 30.000 US-Dollar und ist in Bitcoin zu zahlen. Die Betreiber drohen an die Öffentlichkeit zu gehen, wenn das Lösegeld nicht binnen einer Woche gezahlt wird.
Brett Callow, Analyst für Schadsoftware beim Malware-Labor Emsisoft, sagte im Gespräch mit Cointelegraph, die Versteigerung habe begonnen, nachdem die Gruppe kein Lösegeld von Grubman Shire Meiselas & Sacks – unter anderem Madonnas Anwaltskanzlei – erhalten habe. Er glaubt, dass Auktionen nicht nur eine Möglichkeit sind, Einnahmen aus den gestohlenen Daten zu erzielen. Dieser Ansatz könnte zudem eine Möglichkeit sein, „den Einsatz für zukünftige Opfer zu erhöhen“.
„Die Aussicht, dass Daten versteigert und an Wettbewerber oder andere kriminelle Unternehmen verkauft werden, kann Unternehmen weitaus mehr beunruhigen als die reine Veröffentlichung auf dunklen Tor-Webseiten. Dies könnte ein zusätzlicher Beweggrund zur Lösegeldzahlung sein“, fügte er hinzu. Callow warnte, dass Ransomware mittlerweile eine milliardenschweren Industrie geworden sei. Aus seiner Sicht ließe sich dieser Trend nur durch rigorose Unterbrechung des Bargeldflusses stoppen und dadurch, dass Unternehmen aufhören Lösegeld zu zahlen.