Verzweifelte Person vor Ransomware-Meldung

Accenture, eines der weltweit größten Beratungsunternehmen, bestätigte am vergangenen Mittwoch (11.08.), Opfer eines Ransomware-Angriffs geworden zu sein. Dies kam ans Licht, nachdem die LockBit-Gruppe begann, Dateien zu veröffentlichen, die dem Unternehmen angeblich gestohlen wurden. Ein Zähler auf der Website der Bande besagte, dass die Dokumente innerhalb von Stunden veröffentlicht würden, sollte Accenture das Lösegeld nicht zahlen. Accenture verzeichnete kürzlich einen Umsatz von 44,3 Milliarden Dollar und hat 569.000 Mitarbeiter in 50 Ländern.

In einer öffentlichen Erklärung teilte Accenture mit, dass es mit Hilfe von Sicherheitskontrollen und -protokollen unregelmäßige Aktivitäten in seinen Umgebungen festgestellt und die Situation sofort durch Isolierung der betroffenen Server unter Kontrolle gebracht habe. Die betroffenen Systeme seien vollständig aus dem Backup wiederhergestellt worden, und es habe keine Auswirkungen auf den Betrieb oder die Kundensysteme gegeben. Obwohl Accenture keine näheren Angaben zu dem Vorfall gemacht hat, deutet alles darauf hin, dass es sich um einen Ransomware-Angriff handelt.

Als der auf der LockBit-Website angezeigte Zähler dem Ende zu ging, gaben die Hacker mehr als 2.000 Dateien frei, die angeblich von Accenture gestohlen wurden. Das Unternehmen hat sich nicht zu den durchgesickerten Dokumenten geäußert. Personen, die sie jedoch durchgesehen hatten, sagten SecurityWeek, dass sie keine Kundendaten zu enthalten schienen. Die Cybersecurity-Firma Cybele berichtet dennoch, dass die Gruppe behauptet, mehr als 6 TB an Dateien erlangt zu habe. Das von Accenture geforderte Lösegeld soll demnach 50 Millionen Dollar betragen haben.

Quellen, die mit dem Angriff vertraut sind, sagten der Website BleepingComputer, Accenture habe den Ransomware-Angriff gegenüber mindestens einem Anbieter bestätigt und auch ein IT-Dienstleister habe seine Kunden ebenfalls benachrichtigt.

LockBit ist eine russische Ransomware-Gruppe, die nach dem Modell „Ransomware as a Service (RaaS)” arbeitet, das zum Wachstum dieses Angriffstyps beigetragen hat. Das im Dark Web operierende RaaS-Modell beruht auf der Verwendung von Ransomware, die Daten skriptografiert, raubt und anschließend Geld dafür verlangt. Der Autor der Ransomware kassiert für die Nutzung der Software eine Steuer oder erhält einen Teil des erbeuteten Geldes. Dadurch, dass er nur die Software zur Verfügung stellt, geht er ein geringeres Risiko ein, während die Nutzer der Ransomware ebenfalls davon profitieren, da sie sich das technische Wissen nicht aneignen müssen.

Der Accenture-Hack ereignete sich nur wenige Tage, nachdem das Australian Cybersecurity Centre (ACSC) eine Warnung herausgegeben hatte. Diese betraf mehrere australische Organisationen aus verschiedenen Branchen, die von der Ransomware LockBit 2.0 angegriffen worden waren. Neben der Verschlüsselung von Daten wurde den Opfern auch mit der Weitergabe von Dokumenten und Lösegeldforderungen gedroht.

Nach Angaben des Cybersicherheitsunternehmens Appgate verfügt Lockbit 2.0, die neueste Version der gleichnamigen Ransomware, über weitere Funktionen. Darunter soll eine sein, die ganze Windows-Domänen über Gruppenrichtlinien verschlüsselt. Außerdem verfügt sie über eine neue Strategie zur Gewinnung von Partnern. Nach der Verschlüsselung eines Geräts stellt die Ransomware ein Hintergrundbild ein, in dem sie sich zur erkennen gibt und ein Lösegeld fordert. Zudem wird eine Rekrutierungsanzeige geschaltet, in der sie den Mitarbeitern des betroffenen Unternehmens Millionen von Dollar verspricht, wenn diese den Zugang zum Netzwerk gewähren, um einen Angriff zu starten.

Das Kuriose an dem Fall von Accenture ist, dass das Unternehmen eine Woche vor dem Vorfall auf seiner Website bekannt gegeben hatte, dass das Volumen von Cyberangriffen im ersten Halbjahr 2021 im Vergleich zum Vorjahreszeitraum um 125 % gestiegen ist. Nach Angaben von Accenture war der dreistellige Anstieg vor allem auf den Fernzugriff auf Netzwerke und die Kontrolle über diese, das Hacken von Software-Lieferketten sowie auf Ransomware-Angriffe und Erpressungen zurückzuführen.

Sicherlich wird Accenture im nächsten CIFT-Newsletter einen Teil dieser Statistik veröffentlichen.