Am späten Abend des 2. Juli wurde in den USA bekannt, dass die Hackergruppe REvil 200 Unternehmen in der MSP-Lieferkette über Kaseya VSA angegriffen hat – eine MSP-Plattform, die es Providern ermöglicht, Patch-Management und Client-Überwachung für ihre Kunden durchzuführen.
Die ursprünglich geforderte Lösegeldsumme von 70 Millionen US-Dollar, die nun auf 50 Millionen US-Dollar gesenkt wurde, war unter allen bekannt gewordenen die bisher größte. Sie ereignet sich nur wenige Monate nach der letzten rekordverdächtigen Summe von 50 Millionen US-Dollar, zu deren Zahlung Acer aufgefordert wurde. Die wiederholten Angriffe sind ein Weckruf, die Sicherheit der Lieferkette zur obersten Priorität zu machen. MSPs sind wie in diesem Fall ein lukratives Ziel, da sie Zugriff auf die geschäftskritischen Daten mehrerer Kunden haben. Diese Daten dienen als Basis für eine enorm hohe Lösegeldforderung.
Dieser Trend der immer weiter steigenden Ransomware-Inflation wird sich fortsetzen, ohne dass sich die wirtschaftlichen Rahmenbedingungen ändern. Wenn die Möglichkeit zur Lösegeldzahlung nicht mehr besteht, geht der Anreiz für Ransomware als kriminelles Unterfangen verloren. Ein Teil des Problems bei der Zunahme des Umfangs und der Auswirkungen von Angriffen ist, dass die Bedrohungsakteure das zunehmende Potenzial zur Monetarisierung ihrer Bemühungen erkennen. Nimmt man dies weg, ist die Aktivität nicht mehr rentabel.
Da es sich bei REvil-Gruppe um russische Kriminelle handelt, die keine Unternehmen innerhalb Russlands angreift, ist es schwer, ihre Angriffe von einer staatlich geförderten Aktivität zu unterscheiden. Nach einer langen Reihe von schweren Angriffen unterstreicht dies noch einmal, dass Russland kriminellen Hackern freie Hand gelassen hat. Ohne Eingreifen der Strafverfolgungsbehörden gibt es für diese kriminellen Akteure keinen Grund, nicht weitere Angriffe auszuführen. Ausbleibende Strafverfolgung kann weitere kriminelle Aktivitäten fördern und möglicherweise sogar nationalstaatliche Aktivitäten vorantreiben, die Bedenken hinsichtlich der nationalen Sicherheit hervorrufen würden.
„Es ist weiterhin wichtig, genau zu prüfen, welcher MSP Daten hostet und verwaltet. Während Firmen und Institutionen die Arbeit auslagern können, kann das Risiko nicht ausgelagert werden – fast jeder ist anfällig für Angriffe auf die Lieferkette. Dennoch müssen Unternehmen sicherstellen, dass sie über die richtigen Protokolle und robuste Risikobewertungen von Drittanbietern verfügen, damit sie im Vorfeld solcher Angriffe effizient reagieren können. Auf diese Weise haben sie im Falle eines Angriffs Optionen für Redundanzen parat und können mit minimalen Auswirkungen auf ihr Geschäft auf eine alternative Lösung umsteigen“, so Ben Carr, CISO bei Qualys.