RansomwareHackerangriffeCyberkriminalität

RansomHouse beansprucht Angriff auf Cybersecurity-Firma Trellix für sich

Von CyberDeutsch Redaktion
RansomHouse beansprucht Angriff auf Cybersecurity-Firma Trellix für sich
Zusammenfassung

Die Ransomware-Gruppe RansomHouse hat diese Woche einen Hackerangriff auf den Cybersicherheitsanbieter Trellix für sich beansprucht. Der Vorfall betrifft ein globales Sicherheitsunternehmen, das von Millionen von Organisationen weltweit zur Bedrohungserkennung und Incident Response eingesetzt wird. Die Hacker veröffentlichten Screenshots, die Zugriff auf interne Services und Management-Dashboards belegen, ohne bislang die Menge oder Art der gestohlenen Daten preiszugeben. Für Deutschland ist dieser Angriff aus mehreren Gründen besorgniserregend: Trellix-Kunden in deutschen Unternehmen und Behörden könnten potenziell betroffen sein, da die Cyberkriminellen möglicherweise Zugriff auf interne Systeme und vertrauliche Informationen haben. Der Angriff reiht sich in eine Serie von Supply-Chain-Attacken gegen Sicherheitsfirmen ein und zeigt, dass selbst Unternehmen, die der Branche angehören, nicht immun gegen hochkarätige Cyberbedrohungen sind. Deutsche Organisationen sollten ihre Trellix-Systeme überprüfen und auf mögliche Kompromittierungen untersuchen. Die Vorfallsmuster deuten zudem auf koordinierte Aktivitäten zwischen verschiedenen Hacktergruppen hin, was das Risikopotential erheblich erhöht.

Der Angriff auf Trellix deutet auf eine zunehmend problematische Entwicklung hin: Cyberkriminelle greifen gezielt Sicherheitsunternehmen an, um ihre Positionen zu stärken und zusätzlichen Druck bei Erpressungsversuchen aufzubauen. Dies ist besonders kritisch, da solche Firmen das Rückgrat der IT-Infrastruktur vieler Organisationen bilden – einschließlich deutscher Regierungsbehörden, Banken und kritischer Infrastrukturen.

Die RansomHouse-Gruppe präsentierte mehrere Screenshots, die zeigen, dass die Angreifer Zugriff auf interne Services und Management-Dashboards von Trellix erhielten. Während das Unternehmen versichert, dass die Quellcode-Verteilung und der Entwicklungsprozess nicht beeinträchtigt wurden, bleibt die Frage offen, welche sensiblen Daten tatsächlich erbeutet wurden. Trellix kündigte an, nach Abschluss der Ermittlungen weitere Details zu veröffentlichen – ein Vorgehen, das der DSGVO-Meldepflicht entspricht, die auch deutsche Tochterunternehmen betrifft.

Besonders beunruhigend ist die vermutete Verbindung zu einer größeren Supply-Chain-Kampagne. Die Sicherheitsexperten von SecurityWeek vermuten einen Zusammenhang mit Angriffen auf andere bekannte Cybersecurity-Firmen wie Checkmarx, Aqua Security und Bitwarden. Diese Kampagne wird TeamPCP und Lapsus$ zugeordnet – Gruppen, die kürzlich mit Ransomware-Operateuren kooperiert haben sollen.

RansomHouse selbst ist bekannt für sein Ransomware-as-a-Service-Modell (RaaS), bei dem die Gruppe Cyberkriminellen ihre Infrastruktur zur Verfügung stellt. Mit über 170 Opfern auf ihrer Leak-Website ist RansomHouse eine der aktiveren Erpressergruppen. Das klassische Geschäftsmodell der Gruppe kombiniert Datenverschlüsselung mit Erpressung – Opfer sollen Lösegeld zahlen, um Daten freizugeben oder deren Veröffentlichung zu verhindern.

Für deutsche Sicherheitsverantwortliche und Unternehmen ist dieser Vorfall eine Mahnung. Das BSI empfiehlt verstärkte Überwachung von Sicherheitsanbietern und ihre regelmäßige Überprüfung. Eine Kompromittierung solcher Systeme könnte weitreichende Konsequenzen haben. Unternehmen sollten ihre Abhängigkeit von einzelnen Sicherheitsanbietern überprüfen und Multi-Vendor-Strategien in Betracht ziehen, um Risiken zu streuen.

Ähnliche Artikel