CyrusOne: Rechenzentren mit REvil-Ransomware angegriffen

CyrusOne Rechenzentren von REvil Ransomware befallen. Strafverfolgungs-Behörden ermitteln, Forensik-Unternehmen versuchen Kunden zu helfen.

CyrusOne Ransomware Angriff

CyrusOne ist in den USA einer der größten Anbieter für Rechenzentren. Ein gezielter Angriff mit der REvil-Ransomware auf seine Rechenzentren, erfordert nun eine enge Zusammenarbeit mit diversen Strafverfolgungs-Behörden. Extra auf Vorfälle dieser Art spezialisierte Forensik Unternehmen versuchen derweil den Kunden dabei zu helfen ihre Systeme wiederherzustellen. Auf Lösegeld-Forderungen will man nicht eingehen.

Die REvil-Ransomware-Familie

Ransomware Angriffe USA

Ransomware Angriffe USA

Die Sodinokibi-Ransomware, bzw. REvil oder auch Sodin genannt, ist noch nicht sonderlich lange aktiv. Untersuchungen legen nahe, dass sie offenbar dieselbe Infrastruktur wie der bekannte Verschlüsselungstrojaner GandCrab nutzt. Mitte des Jahres veröffentlichte der Krebs on Security Blog einen Beitrag, in dem sogar ein direkter Zusammenhang zwischen beiden Ransomware-Familien hergestellt wird.

Eine wachsende Zahl von Beweisen deutet jedoch darauf hin, dass sich das GandCrab-Team in aller Stille hinter einem exklusiveren und fortschrittlicheren Ransomware-Programm zusammengefunden hat, das unter den Bezeichnungen “ REvil „, “ Sodin “ und “ Sodinokibi “ bekannt ist“, berichtete der Journalist Brian Krebs auf seinem Blog.

REvil, gehört zu derselben, sehr gefährlichen Ransomware-Familie, welche dieses Jahr bereits mehr als 20 texanische Kommunalverwaltungen und Ende August mehr als 400 US-amerikanische Zahnarztpraxen getroffen hat. In den USA ansässige Firmen und Verwaltungs-Behörden wurden immer wieder Ziel heftiger Ransomware-Angriffe. Der Gouverneur von Louisiana musste aufgrund eines Ransomware-Angriffes, Mitte des Jahres, sogar kurzfristig den Notstand ausrufen.


„Einer Lösegeldforderung werden wir nicht nachkommen!“

Krebs on Security

Krebs on Security

Das Unternehmen CyrusOne wurde bereits im Jahre 2001 gegründet. Der Anbieter von Rechenzentren verfügt über ein Netzwerk von insgesamt 48 Rechenzentren. Laut einem aktuellen Jahresbericht gibt es rund 1.000 Kunden in den USA, Großbritannien, Singapur und Deutschland.

Eine der betroffenen Firmen von CyrosOne ist FIA Tech. Das Finanz- und Maklerunternehmen, bestätigt auf seiner Webseite den Ransomware-Angriff auf das Rechenzentrum von CyrosOne:

Der Angriff konzentrierte sich auf die Unterbrechung des Betriebs, um ein Lösegeld von unserem Rechenzentrumsanbieter zu erhalten.“ (Fia Tech)

ZDNet berichtet in seinem Artikel und bezieht sich dabei auf die Aussage von Insidern. Sie wollen erfahren haben, dass CyrusOne nicht daran denkt, auf die Erpressungsversuche der Cyberkriminellen einzugehen. Ein offizieller CyrusOne-Sprecher bestätigte gestern gegenüber ZDNet in einer E-Mail ebenfalls den Cyber-Angriff. Der Firmensprecher betonte, dass man derzeit sehr eng mit Strafverfolgungs- und Forensik-Unternehmen kooperiere. Man verspricht den Angriff bis ins Detail zu untersuchen und den Kunden mit Unterstützung von spezialisierten Forensik-Unternehmen schnellstmöglich bei der Wiederherstellung ihrer Systeme zu helfen.

Das Unternehmen selbst ist sich der stetigen und steigenden Gefahr eines Cyberangriffes, der jederzeit stattfinden kann, bewusst. Das bestätigt ein Jahresbericht von CyrusOne aus dem letzten Jahr. Auf Seite 23 weist der Anbieter von Rechenzentren explizit auf diese Bedrohungen hin. Eine Kopie der Ransomware-Programmdatei, von der angenommen wird, dass sie CyrusOne infiziert hat, wurde inzwischen auf VirusTotal hochgeladen. Die Community auf VirusTotal scheint sich sicher zu sein. Einstimmig bestätigen sie im hauseigenen Blog, dass es sich dabei um die tückische und gefährliche REvil Ransomware-Familie handelt.

REvil VirusTotal

REvil VirusTotal

Beitragsbild geralt, thx! (Pixabay Lizenz)

Tarnkappe.info

Über den Autor

Sunny schreibt seit 2019 für die Tarnkappe. Dort verfasst er die Lesetipps und berichtet am liebsten über Themen wie Datenschutz, Hacking und Sharehoster. Aber auch in unserer monatlichen Glosse und bei den Interviews ist er immer wieder anzutreffen.