ClickCease Ransomware-Gruppe bedroht Endanwender wie im Wilden Westen

Inhaltsübersicht

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Ransomware-Gruppe bedroht Endanwender wie im Wilden Westen

1. Juni 2023. TuxCare PR Team

Ransomware-Angreifer entwickeln immer wieder innovative Strategien, um ihre Opfer zu zwingen, ihre Forderungen zu erfüllen. In den meisten Fällen zielen die Drohungen jedoch auf diejenigen ab, die zahlen können: die Geschäftsleitung des Unternehmens - oder sogar die Aktionäre.

Die Endnutzer, also die Menschen, die die IT des Unternehmens tagtäglich nutzen, geraten normalerweise nicht in die Schußlinie. Doch im Mai 2023 wurden wir zum ersten Mal Zeuge, wie eine Ransomware-Gruppe ein Notfall-Rundfunksystem nutzte, um Endbenutzer direkt zu bedrohen, mit dem Ziel, die Zielorganisation zur Zahlung zu bewegen.

Es ist wirklich wie im Wilden Westen da draußen, und es hilft nicht, dass einige Opfer so unglücklich sind, wie sie auf einen Ransomware-Angriff reagieren. Schauen wir uns an, was vor ein paar Wochen an der Bluefield University passiert ist.

 

Angriff auf eine Bildungseinrichtung

 

Am 30. April entdeckten Systemadministratoren, dass eine Ransomware-Gruppe namens Avos in die Bluefield University eingedrungen war, eine Privatuniversität in Virginia, die etwa 900 Studenten beherbergt.

Die Ransomware-Infektion begann Ende April und war so schwerwiegend, dass die Universität alle Prüfungen vorübergehend aussetzen musste. Die Universität versicherte damals, dass die Täter keinen finanziellen Betrug oder Identitätsdiebstahl begangen haben. Die Universität Bluefield kündigte den Angriff wie folgt an:

"Wie Sie wissen, hat die Bluefield University am Sonntag, den 30. April 2023, einen Cybersecurity-Angriff entdeckt, der unsere Systeme beeinträchtigt hat. Als wir von diesem Problem erfuhren, haben wir sofort unabhängige externe Cybersicherheitsexperten beauftragt, uns bei der Überprüfung und Behebung des Problems zu unterstützen... bis jetzt haben wir keine Beweise dafür, dass die betroffenen Informationen für finanziellen Betrug oder Identitätsdiebstahl verwendet wurden."

Wer ist Avos? Das Federal Bureau of Investigation (FBI) identifiziert Avos oder (AvosLocker) als eine Gruppe, die Ransomware-as-a-Service anbietet, und als eine Gruppe, die es speziell auf verschiedene kritische Infrastrukturbereiche in den Vereinigten Staaten abgesehen hat. Zu diesen Sektoren gehören unter anderem Finanzdienstleistungen, kritische Produktionsanlagen und Regierungseinrichtungen.

 

Bedrohung der Endverbraucher

 

Vermutlich hat Avos nicht schnell genug bekommen, was es wollte, denn die Gruppe hat einen eskalierenden Schritt unternommen. In den meisten Fällen neigen Bedrohungsakteure dazu, mit den Machthabern einer Organisation zu kommunizieren - den Personen, die eine Ransomware-Forderung bezahlen können. In diesem Fall beschloss Avos - aus welchen Gründen auch immer -, die Studenten der Universität direkt zu bedrohen, und zwar über das Notfallbenachrichtigungssystem der Universität. 

Anfang Mai, kurz vor Mittag an einem Montag, schickte die Ransomware-Gruppe eine Nachricht an alle Studenten der Universität über den universitätseigenen Notrufdienst RamAlert, der kritische Nachrichten per SMS übermittelt. Die Nachricht lautete:

"Wir sind die Avoslocker-Ransomware. Wir haben das Universitätsnetzwerk gehackt und 1,2 TB an Dateien exfiltriert. Wir haben Zulassungsdaten von Tausenden von Studenten. Es besteht die Gefahr, dass Ihre persönlichen Daten in einem Dark Web Blog veröffentlicht werden. Lassen Sie nicht zu, dass die Universität über die Schwere des Angriffs lügt".

Avos war dazu in der Lage, weil das RamAlert-System nur eines von vielen Systemen der Bluefield University war, das sie unter ihre Kontrolle bringen konnten. 

Das ist ein gewagter Schachzug der Ransomware-Gruppe, der vermutlich dazu diente, den Druck auf die Verwaltung der Universität zu erhöhen, damit diese zahlt. Es ist schwer zu sagen, wie sich das für die Studenten angefühlt hat - aber es kann kein gutes Gefühl gewesen sein, auf so eindringliche Weise darüber informiert zu werden, dass die eigenen persönlichen Daten gefährdet sind.

 

Ein unglückliches Opfer?

 

Während Avos direkt mit den Studenten kommunizierte, war die Kommunikation der Universität mit den Studenten, gelinde gesagt, mangelhaft. Zunächst sagte die Universität, dass sie keine Beweise für einen "Identitätsdiebstahl" gesehen habe, warnte die Studenten aber nie vor dem sehr realen Risiko eines solchen Vorfalls.

Am 13. März tauchten Berichte auf, die vermuten lassen, dass es sich in diesem Fall um Identitätsdiebstahl handelt, was nicht überrascht. Berichten auf DataBreaches.net zufolgehat die Universität ihre Studenten nicht auf die anhaltende Schwachstelle in ihrem System hingewiesen, die es böswilligen Cyber-Akteuren ermöglicht, auf Dateien zuzugreifen und diese zu beschaffen.

DataBreaches.net erhielt eine Nachricht von der Hackergruppe, die die persönlichen Daten eines Antragstellers auf Studienbeihilfe enthielt. Erst am Vortag hatte der betreffende Student einen Antrag auf Studienbeihilfe aus Virginia ausgefüllt, der seine vollständige Sozialversicherungsnummer, sein Geburtsdatum und andere persönliche Daten enthielt - und Avos lieferte die vollständigen Details.

Ob die Berichte von DataBreaches.net zutreffend sind oder nicht, ist schwer zu sagen, aber die Situation erinnert an die unentgeltliche Weitergabe von persönlichen Daten bei dem Einbruch in das öffentliche Schulsystem von Minneapolis im März. In diesem Fall veröffentlichten die Hacker persönliche Daten, darunter Geburtstage, Sozialversicherungsnummern und Schlimmeres. Durchsickern der sensiblen Informationen von Hunderten von Kindern, die die Schule mit besonderen Bedürfnissen besuchten.

Weiter und weiter geht's

 

Dieser Vorfall ist Teil eines größeren Trends von Ransomware-Angriffen, die auf Schulen, Unternehmen und Regierungsbehörden in den USA abzielen. Ransomware-Hacker verwenden oft verschiedene Methoden, um ihre Opfer zu zwingen, einschließlich der Verschlüsselung von Computerdateien, der Veröffentlichung gestohlener Informationen auf ihren Websites und der Werbung für ihre Straftaten. Dies scheint jedoch das erste Mal zu sein, dass ein Notfallalarmsystem verwendet wurde, um ein Opfer unter Druck zu setzen.

Die für diesen Angriff verantwortliche Hackergruppe ist hauptsächlich russischsprachig, nach den in Untergrundforen gefundenen Informationen. Solche Gruppen sind für die US-Strafverfolgungsbehörden in der Regel schwer direkt zu erreichen.

Dieser Vorfall verdeutlicht zwei Dinge: Ja, schützen Sie Ihr System auf jede erdenkliche Weise vor Ransomware. Aber selbst wenn Sie über eine erstklassige Cybersicherheitsstruktur verfügen, können Hacker immer noch eindringen. Was Sie als Nächstes tun, ist wirklich wichtig.

Machen Sie sich Sorgen über einen Ransomware-Angriff - oder sind Sie bereits Opfer geworden? Lesen Sie unseren Leitfaden zur Reaktion auf Ransomware, um zu erfahren, wie Ihr Unternehmen souverän reagieren und klar kommunizieren kommunizieren kann, wenn ein Ransomware-Angriff erfolgt.

Zusammenfassung
Ransomware-Gruppe bedroht Endanwender wie im Wilden Westen
Artikel Name
Ransomware-Gruppe bedroht Endanwender wie im Wilden Westen
Beschreibung
Ransomware-Täter entwickeln immer neue Strategien, um ihre Opfer zu erpressen. Doch was geschah an der Bluefield University?
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter