Atlantic.Net stellt diese Sicherheitsempfehlung als Nachricht bereit; Wir möchten unseren Kunden versichern, dass Atlantic.Net keines dieser Produkte, die von diesem Exploit betroffen sind, intern oder in einem unserer Serviceangebote verwendet.
In den letzten Tagen sind Berichte über die möglicherweise größte Ransomware-Nachfrage der Geschichte aufgetaucht. Das gemeldete Opfer ist Acer Inc., der taiwanesische multinationale Technologieriese, der für die Herstellung von Geschäfts- und PC-Hardware, einschließlich Laptops, Computern, Tablets und Bildschirmen, bekannt ist.
Die Nachricht wurde am 19. März 2020 von der Technologie- und Sicherheitswebsite Bleeping Computer verbreitet. Die Hacker-Gruppe REvil hat von Acer ein Lösegeld in Höhe von 50 Millionen US-Dollar gefordert, nachdem sie angeblich einen erfolgreichen Datendiebstahl und einen Ransomware-Angriff begangen hatte.
Es wird angenommen, dass REvil (früher bekannt als Sodinokibi) ein in Russland ansässiger Ransomware-as-a-Service-Vorgang ist. Sie haben zuvor erfolgreich den britischen Hauptsitz des Automobilgiganten Honda und die US-Anwaltskanzlei Grubman Shire Meiselas &Sack ins Visier genommen. Die Verletzung von Grubman machte internationale Schlagzeilen, da sie viele berühmte Persönlichkeiten vertraten, darunter Madonna, Lady Gaga, Donald Trump und Lebron James.
Als Teil der Grubman-Verletzung wurden im Rahmen der Erpressung rechtliche Dokumente durchgesickert, aber sie zahlten vernünftigerweise nie das Lösegeld (im Gegensatz zum britischen Reisewährungsunternehmen Travelex, das REvil Berichten zufolge über 2,3 Millionen US-Dollar zahlte).
Was wissen wir über die Verletzung von Acer?
Zum Zeitpunkt des Verfassens dieses Artikels gab es noch keine offizielle Erklärung von Acer Inc. Wenn man den Berichten Glauben schenken darf, war nur das Backoffice-E-Mail-System auf Acer gerichtet und es wurden keine Produktionsumgebungen kompromittiert. Allerdings hat REvil Acer 9 Tage Zeit gegeben, um eine Prämie von 50 Millionen Dollar zu zahlen; dies ist das größte Lösegeld, das jemals gemeldet wurde, und die Gruppe hat „Beweise“ für den erfolgreichen Verstoß auf ihrer versteckten TOR-Website veröffentlicht.
Trotz des Anstiegs von Exchange Online und Microsoft 365-Clouddiensten betreibt eine große Anzahl von Unternehmen immer noch lokale Microsoft Exchange-Serverfarmen, und es wird angenommen, dass der Verstoß eine kürzlich aufgedeckte Microsoft Exchange-Schwachstelle ausgenutzt hat. Aufgrund der Natur der Exchange-E-Mail-Zustellungsmethode muss zumindest ein Teil der Netzwerkinfrastruktur dem öffentlichen Internet ausgesetzt werden, normalerweise in Form eines DMZ- oder Perimeter-Proxys. Infolgedessen kann jede Schwachstelle ein Unternehmen potenziell böswilligen Akteuren aussetzen.
Am 2. März 2021 bemühte sich Microsoft, eine „Microsoft Exchange Server Remote Code Execution Vulnerability“ zu patchen, die in CVE-2021-26855 dokumentiert ist. Das Sicherheitsbulletin gibt an, dass Exchange 2013, 2016 oder 2019 anfällig war, wenn es auf Windows Server 2008 R2, Server 2012, Server 2012 R2, Server 2016 und Server 2019 ausgeführt wurde.
Microsoft hat daraufhin ein Patching-Tool auf GitHub für Systemadministratoren veröffentlicht. Das Tool scannt die Umgebung, um festzustellen, ob die Infrastruktur anfällig ist. Wenn der Scan bestätigt, dass das System angreifbar ist, werden die Sicherheitsupdates installiert.
Was ist der nächste Schritt?
Wenn Acer Inc. nicht an die Börse geht, werden wir das wahre Ausmaß des Verstoßes vielleicht nie erfahren, aber um 50 Millionen Dollar zu fordern, erwarten viele, dass die Hackergruppe einige wertvolle Daten über das Unternehmen hat. Wenn nicht, versuchen die Hacker nur, Geld zu erpressen.
Da Acer verschlossen ist, ist dies ein Fall von „abwarten und sehen“. Haben sie das Lösegeld bezahlt? Wurden sie sogar gehackt? Ehrlich gesagt weiß es noch niemand, und obwohl einige vorgeschlagene Beweise veröffentlicht wurden, gibt es keine Möglichkeit zu validieren, ob sie echt sind.
Wenn Ihr Unternehmen Bedenken hinsichtlich der Cybersicherheit hat, können Sie sich gerne an Atlantic.Net wenden. Wir sind Spezialisten für Managed Services, Cloud Hosting und HIPAA-Compliance. Die Sicherheit unserer Infrastruktur ist von größter Bedeutung, und wir arbeiten hart daran, sicherzustellen, dass wir die besten Sicherheitsprozesse einsetzen.
Es besteht kein Zweifel, dass dieser Cyberangriff in die Geschichte eingehen wird, und wir machen uns Sorgen um unsere Freunde in der Branche, die davon betroffen sein könnten. Atlantic.Net verfügt über eine vollständige Suite von Managed Security Services, um proaktiv zu sein und sich im Voraus auf Sicherheitsprobleme vorzubereiten. Nehmen Sie noch heute Kontakt mit uns auf.