Datenklau per Exchange-Hack
Erpresser fordern 50 Millionen Dollar von Acer
Mit der Androhung eines zweiten Solarwinds-Desasters fordert die Hackergruppe »REvil« 50 Millionen Dollar von Acer. Zuvor war sie über die Exchange-Lücke in die Systeme des Computerherstellers eingedrungen und hatte dort Daten verschlüsselt und gestohlen.
Experten gehen davon aus, das weltweit Zehntausende Unternehmen angreifbar geworden sind, weil sie die Lücke in Microsoft Exchange zu spät oder gar nicht geschlossen haben, oder sie nach der Installation des Patches keine ausreichende Überprüfung auf eine bereits erfolgte Infektion vorgenommen haben. Welche Gefahren das bergen kann, zeigt jetzt ein prominentes Opfer. Die Hackergruppe »REvil« brüstet sich schon seit mehr als einer Woche im Darkweb damit, bei Acer eingedrungen zu sein und dabei große Mengen sensibler Daten verschlüsselt und gestohlen zu haben. Als Beweis für ihren Raubzug präsentierten die Cybergangster entsprechende Screenshots. Jetzt scheint auch klar, was sie damit vorhaben. Laut einem Bericht von bleepingcomputer fordern die Cyberkriminellen bis zum 28. März 50 Millionen US-Dollar Lösegeld von Acer für den Kryptoschlüssel zur Entsperrung und die Rückgabe der gestohlenen Daten. Bei besonders schneller Bezahlung wollten die Hacker dem taiwanischen IT-Hersteller demnach einen Rabatt von 20 Prozent einräumen. Nach dem Verstreichen der Frist sollen die gestohlenen internen Daten Acers stückweise veröffentlicht werden und sich das Lösegeld verdoppeln.
Die Veröffentlichung sensibler Informationen könnte nicht nur für Acer selbst zum Problem werden, sondern auch für Kunden und Nutzer, wenn sich darin etwa Zugänge oder Schwachstellen in Acer-Geräten finden lassen. Darauf zielt auch eine Warnung der Erpresser hin, Acer müsse aufpassen, nicht zu einem zweiten »SolarWind« zu werden. Acer wollte diese Informationen nicht bestätigen und lieferte dem Portal eine ausweichende Antwort: Unternehmen wie Acer seien ständig Angriffen ausgesetzt und man habe die jüngst beobachteten außergewöhnlichen Situationen den zuständigen Strafverfolgungs- und Datenschutzbehörden in mehreren Ländern gemeldet. Bei weiteren Recherchen konnte bleepingcomputer in Zusammenarbeit mit einem französischen Kollegen im Darknet inzwischen ein Sample der verwendeten Ransomware mit der darin enthaltenen Forderungsmeldung ausfindig machen, die der Darstellung entsprechen. Zudem bestätigt der Code demnach auch den Verdacht, dass die Erpresser tatsächlich die Lücke in Microsoft Exchange für ihren Angriff genutzt hatten.
Die Forderung von 50 Millionen Dollar gilt als bislang höchste in der Geschichte der Cyberpressung, ist aber nicht der erste millionenschwere Erpressungsversuch von REvil. Erst im Januar hatte die Gruppe 30 Millionen Dollar vom asiatischen Retail-Multi Dairy Farm gefordert, nachdem sie dessen Netzwerk infiziert und ebenfalls Daten gestohlen hatte.
Lesen Sie mehr zum Thema
