IT-Angreifer fordern 70 Millionen US-Dollar Lösegeld
Bei der jüngsten Attacke mit Erpressungs-Software haben Kriminelle auf einen Schlag hunderte Unternehmen ins Visier genommen. Sie nutzten eine Schwachstelle beim amerikanischen IT-Dienstleister Kaseya aus, um dessen Kunden mit einem Verschlüsselungstrojaner zu erpressen. Sie schleusten dafür eine präparierte Version der Kaseya-Software ein und nutzten deren Zugriffsrechte. Folgen waren bis nach Schweden zu spüren, wo beispielsweise die Supermarkt-Kette Coop am Wochenende fast alle Läden schließen musste.
Die Angreifer verlangen von den Betroffenen nun 70 Millionen US-Dollar in der Digitalwährung Bitcoin. Den Opfern wird ein Generalschlüssel zu allen betroffenen Computern in Form einer Entschlüsselungs-Software versprochen.
Die Angreifer behaupten, ihre Schadprogramme hätten mehr als eine Million Computer infiziert. Wenn das stimmen sollte, wäre dies die bisher größte Lösegeld-Attacke, betonte Mikko Hyppönen von der IT-Sicherheitsfirma F-Secure am Montag. Von unabhängiger Seite ist das Ausmaß der Schäden allerdings kaum einzuschätzen.
Dominoeffekt
Die IT-Sicherheitsfirma Huntress sprach von mehr als 1000 Unternehmen, bei denen Systeme verschlüsselt worden seien. Kaseya selbst berichtete, dass weniger als 40 der eigenen Kunden betroffen gewesen seien. Allerdings waren darunter auch Dienstleister, die ihrerseits mehrere Kunden haben. Die Folge war ein Domino-Effekt.
So wurde beispielsweise über mehrere Ecken die schwedische Supermarkt-Kette Coop getroffen. Von den gut 800 Läden waren am Wochenende zeitweise nur 5 geöffnet, weil die Kassensysteme nicht funktionierten. Am Sonntag gelang es dem Unternehmen, zumindest in einem Teil der Märkte auf die hauseigene Zahlungs-App umzustellen.
In Deutschland waren dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zufolge ein IT-Dienstleister und mehrere seiner Kunden betroffen. Es handele sich um einige tausend Computer bei mehreren Unternehmen, sagte ein Sprecher am Sonntag. Bundesbehörden und Einrichtungen der kritischen Infrastruktur “von einer meldepflichtigen Größe” seien nach Kenntnis der Regierung nicht betroffen, sagte eine Sprecherin des Bundesinnenministeriums am Montag.
Update soll helfen
Der Schaden hätte noch weit größer sein können: Kaseya hat insgesamt mehr als 36.000 Kunden. Mit Hilfe des Kaseya-Programms VSA verwalten Unternehmen Software-Updates in Computer-Systemen. Ein Eindringen in die VSA-Software kann den Angreifern also viele Türen auf einmal öffnen.
Kaseya stoppte am Freitag seinen Cloud-Service und warnte die Kunden, sie sollten sofort auch ihre lokal laufenden VSA-Systeme ausschalten. Nach Angaben des Unternehmens waren Kunden des Cloud-Dienstes zu keinem Zeitpunkt in Gefahr – und alle betroffenen Firmen griffen auf lokale VSA-Installationen zurück.
Kaseya will am heutigen Montag ein Update einspielen, das die Sicherheitsprobleme löst und die Systeme nach einem Sicherheitstest wieder hochfährt.
Biden schaltet sich ein
US-Präsident Joe Biden ordnete eine Untersuchung des Angriffs durch die Geheimdienste an. “Der erste Eindruck war, dass die russische Regierung nicht dahintersteckt – aber wir sind uns noch nicht sicher”, sagte Biden nach Fragen von Reportern am Samstag. IT-Sicherheitsexperten hatten die Attacke anhand des Software-Codes der Hackergruppe REvil zugeordnet, die in Russland verortet wird.
REvil, auch bekannt als Sodinokibi, ist laut der IT-Sicherheitsfirma Sophos ein sogenanntes Ransomware-as-a-Service-Angebot. Kriminelle Kunden können die Ransomware mieten, anpassen und auf den Computern ihrer Opfer platzieren. Angriffe mit REvil-Ransomware seien sehr unterschiedlich und hingen von dem Angreifer ab, der die Malware gepachtet hat.
Entwendete Daten aus den Angriffen veröffentlicht die Gruppe häppchenweise auf einer eigenen sogenannten Enthüllungsplattform im Internet. REvil steckte vor wenigen Wochen bereits hinter dem Angriff auf den weltgrößten Fleischkonzern JBS, der als Folge für mehrere Tage Werke unter anderem in den USA schließen musste.
Angreifer werden professioneller
Kurz vor dem JBS-Fall stoppte ein ähnlicher Angriff dieser Art den Betrieb einer der größten Benzin-Pipelines in den USA und schränkte die Kraftstoffversorgung vorübergehend ein. Den Kriminellen brachten beide Angriffe Geld ein: JBS zahlte den Angreifern umgerechnet elf Millionen US-Dollar in Kryptowährungen, der Pipeline-Betreiber Colonial 4,4 Millionen Dollar. Allerdings konnten Ermittler wenig später gut die Hälfte des Colonial-Lösegeldes beschlagnahmen.
Es ist auch bereits die zweite binnen weniger Monate bekanntgewordene Attacke, bei der Angreifer über einen IT-Dienstleister in Systeme seiner Kunden eindringen konnten. Über Wartungssoftware der Firma Solarwinds waren Angreifer vermutlich zu Spionage-Zwecken in Computernetzwerke von US-Regierungsbehörden eingedrungen, unter anderem beim Finanz- und Energieministerium.
“Ich denke nicht, dass wir das Schlimmste schon erlebt haben.”
Die Zahl der Angriffe ist laut Industrieverband BDI in der Corona-Pandemie gestiegen, weil Unternehmen im Homeoffice noch verwundbarer seien. Beim BSI hieß es entsprechend: “Die Bedrohungslage ist nach wie vor sehr angespannt und wurde durch die Pandemie noch einmal verschärft.”
Mikko Hyppönen von der IT-Sicherheitsfirma F-Secure führt dies unter anderem darauf zurück, dass die Angriffsfläche mit dem digitalen Wandel in allen Branchen immer größer werde. “Wir bringen alles online.” Es werde noch dauern, bis diese allgemeine Bewegung ins Netz angemessen abgesichert werde: “Ich denke nicht, dass wir das Schlimmste schon erlebt haben.”
Raj Samani von der IT-Sicherheitsfirma McAfee sieht das Problem auch darin, dass sich inzwischen im Internet eine ganze Industrie gebildet habe, in der Attacken mit Erpressungssoftware Interessenten als Bezahl-Service angeboten werden. “Es sind kriminelle Gruppen, die darauf aus sind, so viel Lösegeld wie nur möglich herauszupressen.” Die Empfehlung der Behörden lautet stets kein Geld an Hacker zu bezahlen, weil es keine Garantie dafür gibt, dass die Daten anschließend tatsächlich entschlüsselt werden. (dpa / hcz)