Der größte Internetserviceanbieter in Argentinien, die Telecom Argentina, wurde am 18. Juli Ziel einer Attacke mit der REvil Ransomware. Die Lösegeldforderung beläuft sich auf 7,5 Millionen US-Dollar. Unklar ist, ob Telecom Argentina den Betrag gezahlt hat. Bekannt ist, dass der Angriff großen Schaden in den internen Systemen des Unternehmens angerichtet hat.
Betroffen waren mehr als 18.000 firmeneigene Windows-Rechner bei der Telecom Argentina. Darauf befanden sich persönliche und sensible interne Informationen, die von den Erpressern verschlüsselt wurden. Nicht betroffen von dem Angriff war die Internet-Konnektivität, die Telekommunikation oder das Kabel-TV. Allerdings waren seit dem Angriff einige der Telecom Argentina Webseiten nicht mehr aufrufbar. Die Telecom Argentina hatte sich nicht an die Öffentlichkeit mit einer Erklärung gewandt. Über interne Kanäle wurden die Mitarbeiter aber informiert. Diese verbreiteten daraufhin Informationen zum Vorfall in den sozialen Medien. Demnach war es den Angreifern gelungen, die Kontrolle über einen internen Domain-Admin zu übernehmen. Von dort aus wurde die Ransomware dann auf die Arbeitsplätze verbreitet und installiert.
Der Angriff trifft Argentinien wie ein Schock, da die Telecom Argentina zu den größten Internetdienstleistern des Landes gehört. Der Angriff ist auch der bis dato größte Cyberangriff in der Geschichte des südamerikanischen Landes. Die Höhe der Lösegeldforderung markiert ebenfalls einen neuen Rekord mit 7,5 Millionen US-Dollar, die in Monero-Cryptowährung gezahlt werden sollte. Die Telecom gab jedoch keine Antwort darüber, ob sie die Summe gezahlt hatte. Auch ist nicht bekannt, wie das Unternehmen mit dem ganzen Vorfall umgegangen ist oder ob es mit den Hackern kooperiert hat oder nicht. Die Erpresser gaben der Telecom drei Tage Zeit, um den geforderten Betrag zu bezahlen, ansonsten würde sich der Betrag verdoppeln.
Es gibt noch keine offiziellen Informationen darüber, wie der Angriff ausgeführt wurde. Laut inoffiziellen internen Informationen hatten die IT-Verantwortlichen das Eindringen der Hacker jedoch sofort bemerkt. Daraufhin wurden alle Mitarbeiter sofort aufgefordert, die Arbeiten im internen Netzwerk möglichst zu unterlassen und keine Dateianhänge in E-Mails zu öffnen. Aus Medienberichten geht ebenfalls hervor, dass die Hacker die Ransomware über einen bösartigen Dateianhang in einer E-Mail eingeschleust hatten.
Experten sehen aber aufgrund dieser Aussage, eher keinen Zusammenhang mit der Gruppe, die gewöhnlich hinter REvil steckt. Es sei generell nicht eine Methode, die diese Hackergruppe anwendet. Die Sicherheitsfirma Advanced Intel hatte unlängst berichtet, dass REvil-Hacker anders vorgehen. Demnach seien netzwerkbasierte Einbrüche über ungepatchte Netzwerkgeräte ihr Spezialgebiet. In der Vergangenheit nutzten die REvil-Hacker meistens Pulse Secure und Citrix VPN- und Unternehmens-Gateway-Systeme als Einstiegspunkte aus. Bekannt geworden ist, dass Telecom Argentina Citrix-VPN-Server und auch eine Citrix-Instanz nutzt. Letztere war anfällig für den Sicherheitsfehler CVE-2019-19781. Bereits Monate zuvor stand allen Nutzern ein Patch dafür zur Verfügung. Daher muss davon ausgegangen werden, dass die Gruppe hinter REvil ihre Einstiegsmethoden inzwischen verändert haben.
Gewöhnlich drohen die Hacker hinter der REvil Ransomware auch damit, die gestohlenen Daten ihrer Opfer zu veröffentlichen, wenn die Lösegeldsumme nicht gezahlt wird. Bisher konnten Sicherheitsexperten jedoch noch keine Daten der Telecom Argentina auf dem entsprechenden Darkweb-Portal der Hacker entdecken. Andere Experten sagen, dass man eine so hohe Einzahlung in Monero Währung auch sofort an dessen Kursausschlag erkennen würde. Auch das sei bisher nicht beobachtet worden.
Für die REvil Hacker ist dies übrigens nicht der erste Angriff auf Internet- oder Telekommunikationsdienste. Im Mai dieses Jahres wurde die Sri Lanka Telecom ebenfalls angegriffen. Allerdings war der damalige Angriff nicht erfolgreich für die Hacker. In einer Erklärung der Sri Lanka Telecom hieß es seinerzeit:
„Unsere Frühwarnsysteme entdeckten den Versuch sofort und Vorsichtsmaßnahmen, wie das Abschalten einiger Server, wurden unverzüglich umgesetzt“. Weiter hieß es, die Server seien isoliert gewesen und es hätte keine Auswirkungen auf irgendwelche Systeme, die zur Bereitstellung von SLT-Diensten verwendet werden, gegeben“.
Artikel von zdnet.com, 20.07.2020: Ransomware gang demands $7.5 million from Argentinian ISP
Beitragsbild: Public Domain, Creative Commons CC0, Tony Stoddard auf unsplash.com