RansomHouse bekennt sich zum Angriff auf Trellix-Quellcode

Zusammenfassung

Der bereits vor einigen Tagen bekannt gewordene Angriff auf ein Quellcode-Repository des Cybersicherheitsunternehmens Trellix wird nun von der Erpressergruppe RansomHouse für sich beansprucht. Zum Beweis des Eindringens veröffentlichten die Angreifer auf ihrer Leak-Seite einen kleinen Satz an Bildern. Konkret zeigten sie nach Angaben von BleepingComputer Screenshots, die einen Zugriff auf das System zur Verwaltung von Appliances belegen sollen. BleepingComputer konnte die Echtheit der Daten allerdings nicht bestätigen. Trellix selbst hatte den Vorfall in einer Stellungnahme zu Monatsbeginn eingeräumt und erklärt, man untersuche den Fall. Das Unternehmen zählt zu den international tätigen Sicherheitsanbietern und hatte im Jahr 2025 nach eigenen Angaben mehr als 53.000 Kunden in 185 Ländern sowie 3.500 Beschäftigte; zu den Kunden gehören Konzerne aus der Fortune-100-Liste. Nach der Veröffentlichung durch RansomHouse teilte Trellix mit, man sei sich der Bekennung zum Angriff bewusst und gehe der Sache nach. Damit verbindet sich der Vorfall mit einer Gruppe, die seit Jahren mit Datenerpressung und Verschlüsselung in Erscheinung tritt.

RansomHouse veröffentlichte auf der eigenen Leak-Seite Screenshots, die einen Zugang zum Appliance-Management-System des Sicherheitsunternehmens belegen sollen. BleepingComputer konnte die Authentizität der gezeigten Daten nach eigenen Angaben nicht überprüfen. Laut der Gruppe ereignete sich der Einbruch am 17. April und führte zu einer Verschlüsselung von Daten.

Trellix hatte den Vorfall in einer Stellungnahme am 1. Mai bestätigt. „Trellix hat kürzlich einen unbefugten Zugriff auf einen Teil unseres Quellcode-Repositorys festgestellt. Nachdem wir davon erfahren hatten, haben wir umgehend mit führenden forensischen Experten an einer Lösung gearbeitet", erklärte das Unternehmen. Man habe zudem die Strafverfolgungsbehörden informiert. Nach bisherigem Stand der Untersuchung gebe es keine Hinweise darauf, dass der Veröffentlichungs- oder Verteilungsprozess des Quellcodes betroffen sei oder dass der Quellcode ausgenutzt worden wäre.

Zum Zeitpunkt der ersten Bestätigung blieb eine Anfrage von BleepingComputer nach Details unbeantwortet, und Trellix machte keine Angaben zu den Tätern. Auf eine erneute Anfrage nach der Bekennung durch RansomHouse teilte das Unternehmen mit, man sei sich der Behauptungen zur Urheberschaft bewusst und prüfe diese.

RansomHouse trat 2022 zunächst als reine Datenerpressungs-Operation in Erscheinung. Die Gruppe führt ihre Opfer auf einem Darkweb-Portal auf und veröffentlicht oder verkauft Daten, die aus Unternehmensnetzwerken gestohlen wurden. Im Lauf der Zeit erweiterte sie ihr Werkzeugarsenal um anspruchsvollere Verschlüsselungswerkzeuge. Dazu zählt „Mario", das Zieldateien in einem doppelten Durchlauf mit zwei Schlüsseln verschlüsselt, sowie „MrAgent", das die Verteilung von Verschlüsselungssoftware auf VMware-ESXi-Hypervisoren automatisiert.

Zu den jüngeren prominenten Fällen der Gruppe zählt der Angriff auf den japanischen E-Commerce-Konzern Askul Corporation, bei dem RansomHouse neben weiteren sensiblen Informationen 740.000 Kundendatensätze erbeutete.

Die Untersuchung bei Trellix dauert weiter an. Das Unternehmen hatte zugesagt, weitere Einzelheiten mitzuteilen, sobald diese vorliegen.

RansomHouse bekennt sich zum Angriff auf Trellix-Quellcode

Ähnliche Artikel

Neueste Artikel