REvil greift US-Nuklearberatungsfirma an

Sol Oriens, eine Beratungsfirma der National Nuclear Security Administration (NNSA) des US-Energieministeriums, wurde im Mai zum Ziel eines weiteren Ransomware-Angriffs der Hacker-Gruppe REvil.

In einer von CNBC veröffentlichten Erklärung gab Sol Oriens an, dass das Unternehmen einen unbefugten Zugriff auf bestimmte Dokumente auf den Systemen festgestellt habe und dass diese Dokumente derzeit überprüft würden. Die Firma sagte auch, dass eine forensische Firma beauftragt wurde, um den etwaigen Umfang der betroffenen Daten zu ermitteln.

Obwohl Sol Oriens die Angreifer nicht benannt hat, handelt es sich  bei dem mutmaßlichen Angreifer um die die REvil-Gruppe. Ein Ransomware-Experte der Cybersecurity-Firma Emsisoft fand bei seinen Recherchen auf einem REvil-Blogs im Dark Web Rechnungen für Verträge mit der NNSA, Beschreibungen von F&E-Projekten und Gehaltslisten von Mitarbeitern.

Sol Oriens beschäftigt etwa 50 Mitarbeiter und berät die US-Regierung bei Projekten in den Bereichen Energie, Waffen und anderen Anwendungen von Nukleartechnologie. Einem LinkedIn-Profil zufolge hilft das Unternehmen auch dem Verteidigungsministerium und Organisationen des Energieministeriums, Auftragnehmern aus der Luft- und Raumfahrt sowie Technologiefirmen bei der Durchführung komplexer Programme, die auf eine starke nationale Verteidigung abzielen. Die NNSA ist eine halbautonome Behörde des US-Energieministeriums, die für die Aufrechterhaltung der Sicherheit und Effektivität des Einsatzes von Nuklearwissenschaft in militärischen Anwendungen verantwortlich ist. Neben anderen Aktivitäten arbeitet die Behörde mit der US Navy an nuklearen Antrieben und reagiert auf radiologische und nukleare Notfälle innerhalb der USA sowie im Ausland.

Es gibt bislang keinen Hinweis darauf, dass Sol Oriens aufgrund seines Tätigkeitsfeldes angegriffen wurde, sondern es handelt sich bloß um ein weiteres Opfer, dass wahrscheinlich Lösegeld an die Gruppe zahlen würde. Für Michael DeBolt, Senior Vice President of Intelligence bei Intel 471, war der Angriff auf Sol Oriens vielmehr eine Frage des Timings als eine Aktion, die mit staatsnahen Organisationen in Verbindung steht. Seiner Meinung nach sind die Akteure nach wie vor in erster Linie finanziell motiviert. Gary Kinghorn, Director of Marketing bei Tempered Networks, sagte, dass der Hackerangriff keine katastrophalen Folgen haben sollte, wenn er sich auf persönliche Daten und Verträge beschränke. Er fügte jedoch hinzu, dass Unternehmen die Ausgereiftheit und die Ressourcen, die hinter diesen Angriffen stecken, erkennen müssten, ganz unabhängig von der Motivation.

Die Hackergruppe REvil wird für die jüngsten Ransomware-Fälle verantwortlich gemacht, einschließlich den Angriffen auf JBS Foods, Apple und Acer, bei denen die höchsten Lösegeldforderungen in der Geschichte gestellt wurden. Um Ransomware-Angriffe zu verbreiten, arbeitet die Gruppe mit angeheuerten Partnern in cyberkriminellen Foren zusammen. Kaspersky zufolge richte sich die Lösegeldforderung nach dem Jahresumsatz des Opfers und die Verbreiter erhalten zwischen 60 und 75 % dieses Betrags. Laut einem Interview mit REvil erwirtschaftete die Bande im Jahr 2020 mehr als 100 Millionen US-Dollar.

Sol Oriens, das US-Energieministerium und das National Board äußerten sich nicht zu dem Bericht. Die Beratungsfirma gab diese Woche lediglich eine Erklärung ab, der zu entnehmen war, dass das Unternehmen im vergangenen Monat von einem schwerwiegenden Angriff erfahren und ein forensisches Technologieunternehmen mit der Untersuchung des Vorfalls beauftragt habe. Außerdem seien die Strafverfolgungsbehörden informiert worden.

Die Ermittlungen dauern noch an, doch das Unternehmen sagte, dass nach Bekanntwerden des Angriffes das Computersystem schnell gesichert wurde und zudem alle kompromittierten Dokumente untersucht würden. Sol Oriens arbeitet mit einer externen Technologie-Forensikfirma zusammen, um den Umfang der Daten zu bestimmen, die von dem Cyberangriff im vergangenen Monat betroffen gewesen sein könnten.

Wie die jüngsten Ransomware-Angriffe zeigten, können derartige Attacken schwere Folgen mit sich bringen. Der Angriff auf den Pipeline-Betreiber Colonial führte an der Ostküste mehr als eine Woche lang zu Benzinengpässen und der Angriff auf JBS beeinträchtigte kurzzeitig die Lebensmittelversorgungskette des Landes. Doch beide Fälle verblassen vor der Vorstellung, was passieren könnte, wenn kritische Nukleargeheimnisse preisgegeben würden.