HackerangriffeRansomwareSchwachstellen

Trellix-Quellcode geleakt: RansomHouse-Gruppe beansprucht Cyberangriff

Von CyberDeutsch Redaktion
Trellix-Quellcode geleakt: RansomHouse-Gruppe beansprucht Cyberangriff
Zusammenfassung

Die Ransomware-Gruppe RansomHouse hat einen Angriff auf den Quellcode-Repository des Cybersecurity-Unternehmens Trellix bekannt gemacht und damit bestätigt, was bereits Anfang Mai vermutet wurde. Nach dem Eindringen am 17. April veröffentlichte die Hackergruppe Screenshots als Beweis für ihren Zugriff auf das System des Unternehmens. Trellix ist ein international tätiger Sicherheitskonzern mit mehr als 53.000 Kunden in 185 Ländern und beschäftigt etwa 3.500 Mitarbeiter – darunter befinden sich zahlreiche Fortune-100-Unternehmen. Der Vorfall ist bedeutsam, da RansomHouse eine etablierte Cybercrime-Organisation ist, die seit 2022 mit professionellen Verschlüsselungswerkzeugen wie dem Dual-Encryption-Utility „Mario" und dem VMware-spezialisierten „MrAgent" operiert. Für deutsche Unternehmen und Behörden hat diese Entwicklung erhebliche Implikationen: Viele deutsche Konzerne und Institutionen nutzen potentiell Trellix-Produkte, wodurch sie von Sicherheitslücken in der Lieferkette betroffen sein könnten. Das Breach verdeutlicht zudem die wachsende Bedrohung durch hochorganisierte Ransomware-Gruppen, die nicht nur Daten exfiltrieren, sondern auch Systeme verschlüsseln. Trellix betont zwar, dass keine aktive Ausnutzung des Quellcodes bekannt ist, doch eine vollständige Sicherheitsbewertung bleibt ausstehend.

Die US-amerikanische Cybersecurity-Firma Trellix ist Anfang Mai Opfer eines Cyberangriffs geworden, der es Angreifern ermöglichte, in ihr Quellcode-Repository einzudringen. Das Unternehmen bestätigte den Vorfall am 1. Mai und teilte mit, dass es unmittelbar nach Entdeckung des Vorfalls mit führenden Forensik-Unternehmen und den Strafverfolgungsbehörden zusammenarbeitete. Nach eigenen Angaben gebe es derzeit keine Hinweise darauf, dass der Quellcode bereits in die Vertriebskette gelangt sei oder dass Systeme damit ausgenutzt wurden.

Die Ransomware-Gruppe RansomHouse übernahm nun öffentlich Verantwortung für den Angriff und veröffentlichte Screenshots als Beweis. Nach Aussagen der Cyberkriminellen soll die Intrusion bereits am 17. April stattgefunden haben und mit einer Datenverschlüsselung einhergegangen sein. Die Gruppe hatte Zugriff auf das Appliance-Management-System von Trellix, wie aus den geleakten Bildern hervorgeht.

Trellix beschäftigt rund 3.500 Mitarbeiter und betreut weltweit über 53.000 Kunden in 185 Ländern. Das Unternehmen zählt zu den vertrauensten Namen im Cybersecurity-Bereich und arbeitet mit zahlreichen Fortune-100-Unternehmen zusammen. Ein Quellcode-Leak könnte langfristig erhebliche Sicherheitsimplikationen haben, da Angreifer damit Schwachstellen in Trellix-Produkten identifizieren könnten.

RansomHouse ist kein unbekanntes Phänomen in der Cybercrime-Szene. Die Gruppe wurde 2022 gegründet und operiert als Datenerpressungs-Operation, bei der gestohlene Informationen auf darkweb-Portalen gelistet und verkauft oder geleakt werden. Im Laufe der Zeit hat RansomHouse ihr Arsenal erweitert – unter anderem mit Verschlüsselungs-Tools wie “Mario”, das eine Doppel-Verschlüsselung mit zwei Schlüsseln durchführt, und “MrAgent”, das die automatisierte Bereitstellung von Verschlüsselern auf VMware-ESXi-Hypervisoren ermöglicht.

Ein prominentes früheres Opfer der Gruppe war das japanische E-Commerce-Unternehmen Askul Corporation, von dem RansomHouse 740.000 Kundendatensätze und weitere sensible Informationen stahl. Trellix’ Untersuchung wird fortgesetzt, und das Unternehmen kündigte an, sobald weitere Details verfügbar sind, diese zu kommunizieren.

Ähnliche Artikel