DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Die Kriminellen betreiben einen Blog im Darknet und veröffentlichen Details zu ihren Attacken.
Die Kriminellen betreiben einen Blog im Darknet und veröffentlichen Details zu ihren Attacken.
bild: watson

«REvil»: Das musst du zur Ransomware-Attacke auf Firmen weltweit wissen

Bei einem der grössten erpresserischen Hackerangriffe sind möglicherweise Tausende Firmen-Computer infiltriert und wertvolle Daten gestohlen worden. Eine Hackergruppe namens «REvil» fordert 70 Millionen Dollar.
05.07.2021, 07:3505.07.2021, 12:48

Unbekannte Kriminelle haben über das Wochenende eine grossangelegte Ransomware-Attacke verübt. Sie behaupten, mehr als eine Million Systeme infiziert zu haben.

Die Hackergruppe «REvil» steht im Verdacht, das Desktop-Management-Tool VSA der US-Firma Kaseya gekapert und ein schadhaftes Update aufgespielt zu haben, das Tausende Kunden infizierte. In der Folge wurden ganze Abrechnungssysteme durch die Verschlüsselung der Hacker blockiert. Der Angriff hat Auswirkungen bis nach Europa. In der Schweiz ist noch nichts über mögliche Opfer bekannt.

Die Kriminellen verlangen 70 Millionen Dollar in Bitcoin und versprechen, im Gegenzug den Code preiszugeben, den es für die Entschlüsselung braucht. Damit seien alle in der Lage, sich von dem Angriff in weniger als einer Stunde zu erholen.

Was tut der Bund?

Nach der gross angelegten Attacke mit Erpressungssoftware am Wochenende stehen die Schweizer Cybersicherheitsbehörden mit dem betroffenen US-amerikanischen IT-Dienstleister Kaseya in Kontakt. Zunächst war nichts von Schweizer Firmen unter den Opfern bekannt.

Beim Nationalen Zentrum für Cybersicherheit (NCSC) sei bislang keine Meldung von betroffenen Unternehmen in der Schweiz eingegangen, teilte eine Sprecherin des Eidgenössischen Finanzdepartements (EFD) der Nachrichtenagentur Keystone-SDA am Sonntagabend auf Anfrage mit. Es sei aber gut möglich, dass ein Angriff erst mit dem Beginn der Arbeitswoche am Montag bemerkt und gemeldet werde.

Das NCSC überwache die Situation laufend und stehe mit Kaseya in Kontakt, erklärte die Sprecherin weiter.

Wie konnte das passieren?

Hacker nutzten eine Schwachstelle beim IT-Dienstleister Kaseya, um dessen Kunden mit sogenannter Ransomware zu attackieren – ein Programm, das Daten verschlüsselt und Lösegeld verlangt. Kaseya-Kunden sind wiederum oftmals auch selbst Dienstleister für andere Firmen, sodass eine Art Domino-Effekt entstand.

Die Hackergruppe «REvil» steht im Verdacht, das Desktop-Management-Tool VSA des in Miami ansässigen Anbieters Kaseya gekapert und ein schadhaftes Update aufgespielt zu haben, das in der Folge Tausende Kunden des Tech-Management-Anbieters infizierte.

Kaseya stoppte am Freitag seinen Cloud-Service und warnte die Kunden, sie sollten sofort auch ihre lokal laufenden VSA-Systeme ausschalten.

Die Folgen waren bis nach Schweden zu spüren, wo die Supermarkt-Kette Coop fast alle Läden schliessen musste. Das volle Ausmass der Schäden blieb zunächst unklar. Die IT-Sicherheitsfirma Huntress sprach von mehr als 1000 Unternehmen, bei denen Systeme verschlüsselt worden seien.

Wie reagiert die gehackte IT-Firma?

Kaseya hat das Cybersicherheits-Unternehmen FireEye Inc angeheuert, um die Folgen der Attacke zu bewältigen. Auf seiner Website teilte Kaseya mit, dass seine Mitarbeiter bei der Untersuchung des Angriffs aktiv mit FireEye und anderen Sicherheitsfirmen zusammenarbeiteten.

Kaseya sei zuversichtlich, die Schwachstelle gefunden zu haben, wolle sie demnächst schliessen und die Systeme nach einem Sicherheitstest wieder hochfahren, hiess es. Am Samstag kam noch ein Kunde zur Liste der Opfer dazu, der sein lokal laufendes VSA-System nicht abgeschaltet hatte.

Wer steckt hinter dem Angriff?

Eine Hackergruppe namens «REvil», auch bekannt als «Sodinokibi».

Es sei schwierig, ihren genauen Standort zu bestimmen, aber man vermute, dass die Kriminellen in Russland ansässig sind, da die Gruppe nicht auf russische Organisationen oder solche in Ländern des ehemaligen Ostblocks abziele.

Um zu verstehen, wie die Kriminellen agieren, müsse man sich das Geschäftsmodell von REvil vor Augen führen, hält «Wired» in einem aktuellen Bericht fest. Die Hacker arbeiteten nicht alleine, sondern lizenzierten ihre Ransomware an ein Netzwerk von Partnern, die ihre eigenen Operationen durchführen und REvil dann einfach einen Anteil geben.

REvil sei «ein ausgereiftes und weit verbreitetes Ransomware-as-a-Service (RaaS) Angebot», hält die IT-Sicherheitsfirma Sophos fest. Kriminelle Kunden könnten die Ransomware von den Entwicklern leasen und mit eigenen Parametern versehen auf den Computern ihrer Opfer platzieren.

Brett Callow, Bedrohungsanalyst bei der Antivirenfirma Emsisoft, sagte, er sei nicht optimistisch, dass die Eskalationen in absehbarer Zeit aufhören werden. «Wie viel Geld ist zu viel?»

Anfang Juni attackierte REvil den weltgrössten Fleischkonzern JBS mit Ransomware und legte grosse Teile der Produktion in Nordamerika und Australien lahm.

Attacken mit Erpressungs-Software hatten zuletzt wiederholt für Schlagzeilen gesorgt. Nur kurz vor dem JBS-Fall stoppte ein Angriff dieser Art den Betrieb einer der grössten Benzin-Pipelines in den USA und schränkte die Kraftstoffversorgung in dem Land vorübergehend ein.

Zuvor traf es den Apple-Partner Quanta Computer, dem vertrauliche Dokumente gestohlen wurden.

Was sollen betroffene Firmen tun?

Bei Vorfällen mit Verschlüsselungstrojanern rät das NCSC unter anderem, infizierte Systeme umgehend vom Netz zu trennen. Betroffene sollten infizierte Geräte demnach keinesfalls abschalten, bis die Schadsoftware etwa durch die Polizei, das NCSC oder andere Spezialisten analysiert worden sei.

Hat die Pandemie die Gefahr solcher Angriffe verschärft?

Ja. Die Pandemie und die Arbeit von zu Hause aus verschärfte die Situation laut Experten. Mikko Hyppönen von der IT-Sicherheitsfirma F-Secure führt dies unter anderem darauf zurück, dass die Angriffsfläche mit dem digitalen Wandel in allen Branchen immer grösser werde. «Wir bringen alles online.» Es werde noch dauern, bis diese allgemeine Bewegung ins Netz angemessen abgesichert werde: «Ich denke nicht, dass wir das Schlimmste schon erlebt haben.»

Raj Samani von der IT-Sicherheitsfirma McAfee sieht das Problem auch darin, dass sich inzwischen im Internet eine ganze Industrie gebildet habe, in der Attacken mit Erpressungssoftware Interessenten als Bezahl-Service angeboten werden. «Es sind kriminelle Gruppen, die darauf aus sind, so viel Lösegeld wie nur möglich herauszupressen.» Zugleich zeigte er Verständnis für Unternehmen, die am Ende entgegen den Empfehlungen von Behörden und Experten Geld an die Hacker bezahlen, weil sie Angst um ihr Geschäft haben.

Attacken mit Erpressungs-Trojanern hatten in den vergangenen Jahren mehrfach für Schlagzeilen gesorgt. 2017 legte im Mai der Erpressungs-Trojaner «WannaCry» neben den Computern vieler Privatleute unter anderem Computer in britischen Spitälern sowie Fahrplan-Anzeigen der Deutschen Bahn lahm. Wenige Wochen später traf die Lösegeld-Software «NotPetya» unter anderem die Reederei Maersk und den Nivea-Hersteller Beiersdorf.

Diese Attacken breiteten sich seinerzeit unter anderem deshalb so schnell aus, weil Computer mit älteren Windows-Systemen und nicht geschlossenen Sicherheitslücken für sie ein leichtes Opfer waren. Sie galten deshalb als ein Weckruf für mehr IT-Sicherheit. Dennoch gab es nun erneut mehrere erfolgreiche Angriffe mit Lösegeld-Software.

Quellen

Der Artikel basiert auf mehreren Berichten der Nachrichtenagenturen Keystone-SDA, DPA und Reuters.

(dsc)

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Die bösartigsten Computer-Attacken aller Zeiten

1 / 16
Die bösartigsten Computer-Attacken aller Zeiten
Auf Facebook teilenAuf Twitter teilenWhatsapp sharer

«Habe die Bibel in tausend Stücke gerissen» – Samuels harter Ausstieg aus der Freikirche

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Zehn Jahre nach Utøya: Norwegen gedenkt der Terroropfer

Norwegen gedenkt der 77 Todesopfer der Terroranschläge in Oslo und auf der Insel Utøya vor genau zehn Jahren. Am Jahrestag der Angriffe des Rechtsextremisten Anders Behring Breivik sind am Donnerstag mehrere Gedenkveranstaltungen und Schweigeminuten geplant, an denen unter anderen Überlebende, Hinterbliebene, Regierungschefin Erna Solberg und Königshausvertreter teilnehmen werden. Bei einem nationalen Gedenken am Abend wird König Harald V. eine Rede halten.

Breivik hatte am 22. Juli 2011 …

Artikel lesen
Link zum Artikel