Unbekannte Kriminelle haben über das Wochenende eine grossangelegte Ransomware-Attacke verübt. Sie behaupten, mehr als eine Million Systeme infiziert zu haben.
Die Hackergruppe «REvil» steht im Verdacht, das Desktop-Management-Tool VSA der US-Firma Kaseya gekapert und ein schadhaftes Update aufgespielt zu haben, das Tausende Kunden infizierte. In der Folge wurden ganze Abrechnungssysteme durch die Verschlüsselung der Hacker blockiert. Der Angriff hat Auswirkungen bis nach Europa. In der Schweiz ist noch nichts über mögliche Opfer bekannt.
Die Kriminellen verlangen 70 Millionen Dollar in Bitcoin und versprechen, im Gegenzug den Code preiszugeben, den es für die Entschlüsselung braucht. Damit seien alle in der Lage, sich von dem Angriff in weniger als einer Stunde zu erholen.
Nach der gross angelegten Attacke mit Erpressungssoftware am Wochenende stehen die Schweizer Cybersicherheitsbehörden mit dem betroffenen US-amerikanischen IT-Dienstleister Kaseya in Kontakt. Zunächst war nichts von Schweizer Firmen unter den Opfern bekannt.
Beim Nationalen Zentrum für Cybersicherheit (NCSC) sei bislang keine Meldung von betroffenen Unternehmen in der Schweiz eingegangen, teilte eine Sprecherin des Eidgenössischen Finanzdepartements (EFD) der Nachrichtenagentur Keystone-SDA am Sonntagabend auf Anfrage mit. Es sei aber gut möglich, dass ein Angriff erst mit dem Beginn der Arbeitswoche am Montag bemerkt und gemeldet werde.
Das NCSC überwache die Situation laufend und stehe mit Kaseya in Kontakt, erklärte die Sprecherin weiter.
Hacker nutzten eine Schwachstelle beim IT-Dienstleister Kaseya, um dessen Kunden mit sogenannter Ransomware zu attackieren – ein Programm, das Daten verschlüsselt und Lösegeld verlangt. Kaseya-Kunden sind wiederum oftmals auch selbst Dienstleister für andere Firmen, sodass eine Art Domino-Effekt entstand.
Die Hackergruppe «REvil» steht im Verdacht, das Desktop-Management-Tool VSA des in Miami ansässigen Anbieters Kaseya gekapert und ein schadhaftes Update aufgespielt zu haben, das in der Folge Tausende Kunden des Tech-Management-Anbieters infizierte.
Kaseya stoppte am Freitag seinen Cloud-Service und warnte die Kunden, sie sollten sofort auch ihre lokal laufenden VSA-Systeme ausschalten.
Die Folgen waren bis nach Schweden zu spüren, wo die Supermarkt-Kette Coop fast alle Läden schliessen musste. Das volle Ausmass der Schäden blieb zunächst unklar. Die IT-Sicherheitsfirma Huntress sprach von mehr als 1000 Unternehmen, bei denen Systeme verschlüsselt worden seien.
Kaseya hat das Cybersicherheits-Unternehmen FireEye Inc angeheuert, um die Folgen der Attacke zu bewältigen. Auf seiner Website teilte Kaseya mit, dass seine Mitarbeiter bei der Untersuchung des Angriffs aktiv mit FireEye und anderen Sicherheitsfirmen zusammenarbeiteten.
Kaseya sei zuversichtlich, die Schwachstelle gefunden zu haben, wolle sie demnächst schliessen und die Systeme nach einem Sicherheitstest wieder hochfahren, hiess es. Am Samstag kam noch ein Kunde zur Liste der Opfer dazu, der sein lokal laufendes VSA-System nicht abgeschaltet hatte.
Eine Hackergruppe namens «REvil», auch bekannt als «Sodinokibi».
Es sei schwierig, ihren genauen Standort zu bestimmen, aber man vermute, dass die Kriminellen in Russland ansässig sind, da die Gruppe nicht auf russische Organisationen oder solche in Ländern des ehemaligen Ostblocks abziele.
Um zu verstehen, wie die Kriminellen agieren, müsse man sich das Geschäftsmodell von REvil vor Augen führen, hält «Wired» in einem aktuellen Bericht fest. Die Hacker arbeiteten nicht alleine, sondern lizenzierten ihre Ransomware an ein Netzwerk von Partnern, die ihre eigenen Operationen durchführen und REvil dann einfach einen Anteil geben.
REvil sei «ein ausgereiftes und weit verbreitetes Ransomware-as-a-Service (RaaS) Angebot», hält die IT-Sicherheitsfirma Sophos fest. Kriminelle Kunden könnten die Ransomware von den Entwicklern leasen und mit eigenen Parametern versehen auf den Computern ihrer Opfer platzieren.
Brett Callow, Bedrohungsanalyst bei der Antivirenfirma Emsisoft, sagte, er sei nicht optimistisch, dass die Eskalationen in absehbarer Zeit aufhören werden. «Wie viel Geld ist zu viel?»
Anfang Juni attackierte REvil den weltgrössten Fleischkonzern JBS mit Ransomware und legte grosse Teile der Produktion in Nordamerika und Australien lahm.
Attacken mit Erpressungs-Software hatten zuletzt wiederholt für Schlagzeilen gesorgt. Nur kurz vor dem JBS-Fall stoppte ein Angriff dieser Art den Betrieb einer der grössten Benzin-Pipelines in den USA und schränkte die Kraftstoffversorgung in dem Land vorübergehend ein.
Zuvor traf es den Apple-Partner Quanta Computer, dem vertrauliche Dokumente gestohlen wurden.
Bei Vorfällen mit Verschlüsselungstrojanern rät das NCSC unter anderem, infizierte Systeme umgehend vom Netz zu trennen. Betroffene sollten infizierte Geräte demnach keinesfalls abschalten, bis die Schadsoftware etwa durch die Polizei, das NCSC oder andere Spezialisten analysiert worden sei.
Ja. Die Pandemie und die Arbeit von zu Hause aus verschärfte die Situation laut Experten. Mikko Hyppönen von der IT-Sicherheitsfirma F-Secure führt dies unter anderem darauf zurück, dass die Angriffsfläche mit dem digitalen Wandel in allen Branchen immer grösser werde. «Wir bringen alles online.» Es werde noch dauern, bis diese allgemeine Bewegung ins Netz angemessen abgesichert werde: «Ich denke nicht, dass wir das Schlimmste schon erlebt haben.»
Raj Samani von der IT-Sicherheitsfirma McAfee sieht das Problem auch darin, dass sich inzwischen im Internet eine ganze Industrie gebildet habe, in der Attacken mit Erpressungssoftware Interessenten als Bezahl-Service angeboten werden. «Es sind kriminelle Gruppen, die darauf aus sind, so viel Lösegeld wie nur möglich herauszupressen.» Zugleich zeigte er Verständnis für Unternehmen, die am Ende entgegen den Empfehlungen von Behörden und Experten Geld an die Hacker bezahlen, weil sie Angst um ihr Geschäft haben.
Attacken mit Erpressungs-Trojanern hatten in den vergangenen Jahren mehrfach für Schlagzeilen gesorgt. 2017 legte im Mai der Erpressungs-Trojaner «WannaCry» neben den Computern vieler Privatleute unter anderem Computer in britischen Spitälern sowie Fahrplan-Anzeigen der Deutschen Bahn lahm. Wenige Wochen später traf die Lösegeld-Software «NotPetya» unter anderem die Reederei Maersk und den Nivea-Hersteller Beiersdorf.
Diese Attacken breiteten sich seinerzeit unter anderem deshalb so schnell aus, weil Computer mit älteren Windows-Systemen und nicht geschlossenen Sicherheitslücken für sie ein leichtes Opfer waren. Sie galten deshalb als ein Weckruf für mehr IT-Sicherheit. Dennoch gab es nun erneut mehrere erfolgreiche Angriffe mit Lösegeld-Software.
Der Artikel basiert auf mehreren Berichten der Nachrichtenagenturen Keystone-SDA, DPA und Reuters.
(dsc)
Blöd dass sich Spezialisten in dem Bereich nicht einfach vom RAV weg rekrutieren lassen... Zumindest viele meiner Kunden hatten wohl das Gefühl, dass sich eine robuste IT Security innert weniger Wochen aufbauen lässt (nachdem man es +20 Jahre lang schleifen gelassen hat) und ezpz Leute dafür findet.
Dazu kommt dass sich eine Menge an Dampfplauderern und Scharlatanen eingenistet haben weil das Thema gerade hip ist.