Der Hardwarehersteller Acer ist mutmaßlich am 14. März 2021 Opfer eines erfolgreichen Ransomware-Angriffs der "REvil"-Gruppe geworden, bei dem nicht nur Systeme des Unternehmens verschlüsselt, sondern auch Dokumente abgezogen wurden. Ein Leser meldete sich beim Autor und berichtete, er könne ein defektes Gerät nicht zu Acer einsenden, weil laut Support alle Systeme nicht funktionsfähig seien. Nun scheint der Grund für diesen Ausfall der IT-Systeme des Acer-Supports klar zu sein.

"REvil"-Gruppe veröffentlicht Daten des Acer-Hacks

Kurz darauf postete der APT-Group-Analyst Kse Proso den Screenshot einer Seite der "REvil"-Ransomware-Gruppe. Die Cyber-Kriminellen gaben dort an, den in Taiwan beheimateten, international operierenden Hardware- und Elektronik-Konzern Acer mit Ransomware angegriffen und Daten erbeutet zu haben. In einem Screenshot wurden Dokumente gezeigt, die vom sechstgrößten PC-Hersteller der Welt stammen sollen und bei einem Ransomware-Befall erbeutet wurden. Die Veröffentlichung der Daten durch die "REvil"-Gruppe sollte wohl den Druck auf Acer erhöhe, Lösegeld zu bezahlen.

Mitarbeiter der Techtarget Group SearchSecurity kontaktierten daraufhin Acer, um über diese Veröffentlichung zu informieren und haben um eine Stellungnahme zu den Vorwürfen gebeten. Es gab aber nur eine ausweichende Antwort: Das Unternehmen gibt an, seine IT-Systeme routinemäßig zu überwachen, und die meisten der ständig stattfindenden Cyberangriffe würden gut abgewehrt. Nur in einem Nebensatz klingt an, dass man „die in letzter Zeit beobachteten abnormalen Situationen den zuständigen Strafverfolgungs- und Datenschutzbehörden in mehreren Ländern gemeldet“ habe.

"REvil" fordert 50 Millionen US-Dollar

Die französische Webseite lemagit meldet, dass die Cyber-Kriminellen, die hinter der Ransomware Revil/Sodinokibi stecken, nach einem erfolgreichen Cyberangriff nicht nur Screenshots von gestohlenen Dokumenten auf ihrer Website auf Acer veröffentlicht haben. Das Magazin gibt an, inzwischen Belege für eine Forderung der Revil/Sodinokibi-Ransomware-Gruppe gesehen zu haben. Die Erpresser fordern 50 Millionen US-Dollar in Form von Monero-Kryptogeld, um die erbeuteten Daten wieder zu löschen und dem Opfer ein Entschlüsselungstool für die Dateien bereitzustellen.

Die Verhandlungen gestalten sich schwierig: Die Cyber-Kriminellen boten einen Rabatt von 20 Prozent auf den geforderten Betrag an, sofern die Zahlung bis zum 17. März bei ihnen eingeht. Dem Vernehmen nach hat Acer aktuell wohl 10 Millionen US-Dollar an Lösegeld angeboten. Die Angreifer geben Acer bis zum 28. März Zeit, ihre Forderungen zu erfüllen oder einen Vergleich zu schließen. Nach dieser Frist wollen sie 100 Millionen Dollar verlangen.

Auf jeden Fall hat man mit Acer einen großen Hersteller und ein potentes Opfer gefunden – die Höhe der geforderten Lösegeldsumme stellt bereits jetzt einen neuen Rekord dar. Sicherheitsforscher der Palo Alto Networks Unit 42 berichteten kürzlich, dass die höchste Lösegeldforderung an ein Opfer im Jahr 2020 bei 30 Millionen US-Dollar lag.

War ein Exchange-Server das Einfallstor?

Nachdem Acer auf Anfrage nicht mal den Befall durch Ransomware eingestehen wollte, ist die Ursachenanalyse und die Bestimmung des Einfallsvektors schwierig. Allerdings gibt es einen Verdacht: Anfang März wurde der Massenhack verwundbarer lokaler Exchange-Server über die "ProxyLogon"-Schwachstelle durch die Hafnium-Gruppe bekannt. Seit öffentliche Exploits bekannt sind, mischen auch andere Cyber-Kriminelle mit und versuchen Ransomware (DearCry) oder Crypto-Miner auf ungepatchten Exchange Servern zu installieren.

Die "REvil"-Gruppe bietet Cyber-Kriminellen ja Ransomware-as-a-Service auf Basis einer Erfolgsbeteiligung an und stellt die Infrastruktur bereit. Der Sicherheitsforscher Vitali Kremez gab gegenüber der US-Website Bleeping Computer an, einen Angriff auf Acer-Exchange-Systeme beobachtet zu haben. „Das Andariel-Cyberintelligenzsystem von Advanced Intel hat festgestellt, dass ein bestimmtes REvil-Mitglied die Kompromittierung von Microsoft Exchange Servern anstrebte“, sagte Kremez gegenüber BleepingComputer.

Ein Screenshot gescannter Exchange-Server listet eine Acer-Domain auf, die wohl im Fokus des Angreifers stand. Ob dieser Angriffsvektor beim aktuellen Ransomware-Angriff genutzt wurde, ist zwar unbekannt, der Vorfall stellt aber auf jeden Fall einen Hinweis dar.