Es ist wohl eine der größten Ransomware-Angriffe in der Geschichte. Am Freitag meldete das US-amerikanische IT-Unternehmen Kaseya, dass Hacker das hauseigene Dienstleistungsprogramm VSA mit einer Erpressersoftware infiziert hätten. Das System wird von zahlreichen Unternehmen weltweit benutzt, um Verwaltungsaufgaben und Updates auf betriebseigenen Rechnern zu koordinieren. Diese Funktionen legten die Angreifer mit der Ransomware-Attacke lahm. So blockierten sie beispielsweise Abrechnungssysteme, woraufhin die schwedische Supermarktkette Coop 800 Filialen vorübergehend schließen musste. Laut Kaseya seien etwa 40 Kunden des US-Unternehmens betroffen. Dadurch, dass sich die Infektion jedoch Domino-artig auch auf externe Geräte ausgebreitet habe, habe sich die Anzahl der infizierten Unternehmen auf 1.000 gesteigert. Unter ihnen seien auch deutsche Firmen.

Einen Hinweis auf die Täter gab es am Freitag jedoch noch nicht. Nun proklamierte das Hackerkollektiv “REvil” den Angriff in einem Blog-Beitrag für sich. Darin fordern die Angreifer ein Lösegeld von insgesamt 70 Millionen US-Dollar in Bitcoin. Die genaue Herkunft der Hacker ist unklar – einige vermuten jedoch Russland als Basis der Operationen. Ein Indiz: Bisher wurden keine Attacken gegen russischsprachige Unternehmen geführt. Ebenfalls ungewiss ist eine Beteiligung der russischen Regierung. So sagte US-Präsident Joe Biden am Samstag bei einem Auftritt im US-Bundesstaat Michigan:

Die anfängliche Überlegung war, dass es nicht die russische Regierung war, aber wir sind uns noch nicht sicher.

US-Präsident Joe Biden zum Ransomware-Angriff auf Kaseya

In der Folge habe der Präsident verschiedene nationale Geheimdienste mit einer Untersuchung beauftragt.

REvil wohl auch für Angriff auf Colonial Pipeline verantwortlich

Dabei liegt die letzte Attacke der Hacker noch gar nicht so lange zurück. So sorgten Ende Mai zwei Ransomware-Angriffe für Aufsehen, als REvil zunächst IT-Systeme des weltweit größten Fleischfabrikanten JBS und dann auch noch die größte Benzinpipeline der USA mit Erpressersoftware lahmlegten. In beiden Fällen verlangten die Cyberkriminellen Bitcoin-Lösegelder in Millionenhöhe. JBS zahlte knapp 11 Millionen US-Dollar, während Colonial Pipeline sich für etwa 4,4 Millionen US-Dollar freikaufen konnte. Bei letzteren gelang es schließlich dem FBI, 63,7 Bitcoin zu beschlagnahmen.

Neben den ertragreichen Einkünften stehen die Dienste der Hackergruppe auch zum Verkauf. So betreibt REvil ein Affiliate-Programm, bei dem Kunden die Fähigkeiten der Cyberkriminellen anwerben können. Die Beträge teilen die Erpresser untereinander. Deshalb ist nicht immer klar, wer die tatsächlichen Drahtzieher sind.

Wie der Spiegel berichtet, ist die Sicherheitslücke bei Kaseya bereits länger bekannt gewesen. Ein entsprechender Patch sei jedoch noch nicht veröffentlicht worden. Demnach hatte REvil die Gunst der Stunde genutzt und zugeschlagen. Ob die Hacker nun tatsächlich 70 Millionen US-Dollar einheimsen können, bleibt indes abzuwarten. Laut Medienberichten soll die Hackergruppe mittlerweile einen “Rabatt” eingeräumt haben. Die neue Forderung liegt demnach “nur noch” bei 50 Millionen US-Dollar.

Das Thema Cybersecurity ist in diesem Monat übrigens auch Gegenstand des Kryptokompass. Darin geht es um Ermittlungsmethoden der Strafverfolger im Inter- und Darknet – und wie die Blockchain-Technologie ihnen dabei hilft.