Der Vorfall, der sich am 8. September ereignete und die IT-Systeme des Unternehmens in der EMEA-Region betraf, scheint für Ransomware-Gruppen eine Rückkehr zur Normalität zu bedeuten.
Der japanische Technologieriese Olympus untersucht derzeit einen Cybervorfall auf seinen EMEA-IT-Systemen, der sich Anfang des Monats ereignete und laut Quellen auf einen BlackMatter-Ransomware-Angriff zurückzuführen ist.
Das Unternehmen entdeckte am 8. September „verdächtige Aktivitäten“ und „mobilisierte sofort ein spezialisiertes Reaktionsteam, einschließlich Forensikexperten“, wie es in einer am Wochenende veröffentlichten Presseerklärung heißt.
„Als Teil der Untersuchung haben wir den Datentransfer in den betroffenen Systemen ausgesetzt und die relevanten externen Partner informiert“, heißt es in der Erklärung. „Wir arbeiten derzeit daran, das Ausmaß des Problems zu bestimmen und werden weiterhin Updates bereitstellen, sobald neue Informationen verfügbar sind.
Olympus, ein multinationales Unternehmen mit weltweit mehr als 31.600 Mitarbeitern, stellt optische und digitale Reprographietechnik für die Medizin- und Biowissenschaftsbranche her. Das Unternehmen war in der Vergangenheit als Pionier im Bereich der analogen und digitalen Kameras bekannt, hat aber im Januar seine angeschlagene Kamerasparte verkauft.
Laut einem Bericht von TechCrunch wurde Olympus Opfer der Ransomware-Gruppe BlackMatter, einer der cyberkriminellen Organisationen, die nach der Schließung anderer Ransomware-Anbieter wie DarkSide, REvil und Ragnarok wieder an Bedeutung gewonnen haben.
Unter Berufung auf eine Person, die „mit dem Vorfall vertraut ist“, begann der Angriff am frühen Morgen des 8. September, wobei BlackMatter dem Bericht zufolge in einer auf den infizierten Computern hinterlassenen Lösegeldnotiz die Verantwortung dafür übernahm.
„Ihr Netzwerk ist verschlüsselt und derzeit nicht funktionsfähig“, heißt es in dem Schreiben, das dem Bericht zufolge vorliegt. „Wenn Sie zahlen, werden wir Ihnen die Programme zur Entschlüsselung zur Verfügung stellen“.
Die Gruppe fügte auch eine Webadresse zu einer Website hinzu, von der bekannt ist, dass sie von BlackMatter benutzt wird, um mit den Opfern zu kommunizieren, und die nur über den Tor-Browser zugänglich ist, heißt es in dem Bericht.
Aus der Asche auferstanden
BlackMatter operiert als Ransomware-as-a-Service und ist aus der Asche von DarkSide auferstanden – einer Gruppe, die vielleicht am besten für den Angriff auf Colonial Pipeline bekannt ist, der eine große Störung in der Öl- und Gasindustrie verursachte. Tatsächlich glauben einige, dass es sich bei BlackMatter lediglich um eine Umbenennung der ehemaligen Ransomware-Bande und nicht um eine völlig neue Gruppe handelt, so ein Sicherheitsexperte.
„Die Verhaltensweisen und Taktiken, Techniken und Verfahren (TTPs) der Angreifer scheinen bei DarkSide und BlackMatter sehr ähnlich zu sein“, so Jorge Orchilles, CTO des Sicherheitsunternehmens SCYTHE, das Angreifer simuliert, in einer E-Mail an Threatpost. „Es liegt die Vermutung nahe, dass der Bedrohungsakteur einfach seinen Namen geändert und eine kleine Pause eingelegt hat, um sich vom Colonial Pipeline-Bruch zu distanzieren.“
Auch REvil hatte sich seit einem größeren Angriff auf die Lieferkette von Kaseya zurückgezogen, kehrte aber letzte Woche zurück, wobei seine Server wieder online waren und ein neues Opfer auf seiner Website aufgeführt wurde. Ein angeblicher Vertreter der Gruppe beantwortete in einem Untergrundforum auch Fragen dazu, warum REvil eine Zeit lang verschwunden war und wie sein Entschlüsselungsprogramm für die Kaseya-Angriffe ins Internet gelangte.
All diese jüngsten Aktivitäten sind eine schlechte Nachricht für Unternehmen, die vermeiden wollen, zur Zielscheibe von Ransomware zu werden, die Unternehmen Millionen an Sanierungskosten und Gebühren für die Entsperrung von Dateien kosten kann, so Orchilles.
„Auch wenn es den Anschein hat, dass wir in den letzten Monaten weniger Ransomware-Angriffe hatten, erwarten wir, dass diese Art von Ransomware-Angriffen mit doppelter Erpressung für den Rest des Jahres mit voller Kraft weitergehen wird“, sagte er.
In der Tat ist die Aussicht, von Ransomware betroffen zu sein, etwas, das Unternehmen „nachts wach hält“, so Saryu Nayyar, CEO des Risikoanalyseunternehmens Gurucul.
Obwohl es eine Zeit lang so aussah, als würde die Bedrohung abnehmen, zeigt der Angriff auf Olympus, der an den Angriff auf die Colonial Pipeline erinnert, dass die Ransomware immer noch existiert, was bedeutet, dass die Unternehmen ihre Verteidigung verstärken müssen, so Nayyar in einer E-Mail an Threatpost.
„Solange Unternehmen ihre Systeme nicht vollständig vor Angriffen schützen können, besteht die einzige Möglichkeit der Frühwarnung darin, die Netzwerkaktivität genau zu überwachen, um anormale Aktivitäten zu erkennen und sie schnell zu verfolgen, um Sicherheitslücken zu schließen“, so Nayyar. „IT-Teams und Sicherheitsexperten müssen ständig wachsam sein, aber sie brauchen auch die richtigen Tools für die Früherkennung und Abhilfe.“
Es ist an der Zeit, die Bedrohungsjagd zu einer Verfolgung von Gegnern weiterzuentwickeln. Nehmen Sie an der Veranstaltung von Threatpost und Cybersixgill zum Thema „Threat Hunting to Catch Adversaries, Not Just Stop Attacks“ (Bedrohungsjagd, um Angreifer zu fangen und nicht nur Angriffe zu stoppen) teil und erfahren Sie, wie Sie Bedrohungsakteure aufspüren können, bevor sie ihren nächsten Angriff starten. Registrieren Sie sich jetzt für die LIVE-Diskussion am 22. September um 14.00 Uhr EST mit Sumukh Tendulkar und Edan Cohen von Cybersixgill, dem unabhängigen Forscher und vCISO Chris Roberts und Threatpost-Moderatorin Becky Bracken.
Einige Teile dieses Artikels stammen aus:
threatpost.com
HP OMEN Gaming Hub-Fehler betrifft Millionen von Windows-Computern