Hackergruppe REvil nutzte Schwachstelle bei IT-Firma Kaseya

Hacker fordern nach Cyberattacke 70 Mio. Dollar Lösegeld

Montag, 05. Juli 2021 | 14:33 Uhr

Die Hacker, die am Wochenende hunderte Unternehmen mit Erpressungssoftware angegriffen haben, machen sich Hoffnungen auf eine fette Beute. Die Gruppe REvil verlangt 70 Millionen US-Dollar (59 Mio. Euro) in der Digitalwährung Bitcoin für einen Generalschlüssel zu allen betroffenen Computern. Die Hacker behaupten, ihre Software habe mehr als eine Million Computer infiziert.

Wenn das stimme, wäre dies die bisher größte Lösegeld-Attacke, betonte Mikko Hyppönen von der IT-Sicherheitsfirma F-Secure am Montag. Die Hackergruppe nutzte eine Schwachstelle beim amerikanischen IT-Dienstleister Kaseya, um dessen Kunden mit einem Programm zu attackieren, das Daten verschlüsselt und Lösegeld verlangt. Das besonders perfide an diesem Angriffsweg ist, dass Kaseya-Software auf den Computern als vertrauenswürdig eingestuft wird.

Von unabhängiger Seite war das Ausmaß der Schäden bisher kaum einzuschätzen. Die IT-Sicherheitsfirma Huntress sprach von mehr als 1.000 Unternehmen, bei denen Systeme verschlüsselt worden seien. Kaseya selbst berichtete, dass weniger als 40 Kunden betroffen gewesen seien. Allerdings waren darunter auch wiederum Dienstleister, die ihrerseits mehrere Kunden haben. Die Folge war ein Domino-Effekt.

So wurde über mehrere Ecken die schwedische Supermarkt-Kette Coop getroffen. Von den gut 800 Läden waren am Wochenende zeitweise nur 5 geöffnet, weil die Kassensysteme nicht funktionierten. Am Sonntag gelang es dem Unternehmen, zumindest in einem Teil der Märkte auf die Zahlung per hauseigener “Scan & Pay”-App umzustellen.

In Deutschland waren dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zufolge ein IT-Dienstleister und mehrere seiner Kunden betroffen. Es handle sich um einige tausend Computer bei mehreren Unternehmen, sagte ein Sprecher am Sonntag. Behörden und Einrichtungen der kritischen Infrastruktur “von einer meldepflichtigen Größe” seien nach Kenntnis der Regierung nicht betroffen, sagte eine Sprecherin des deutschen Innenministeriums am Montag. Ob in Österreich Unternehmen oder Behörden von dem Angriff betroffen waren, war vorerst noch unklar.

Die von Experten in Russland verortete Gruppe REvil steckte vor wenigen Wochen bereits hinter dem Angriff auf den weltgrößten Fleischkonzern JBS. Das Unternehmen musste als Folge für mehrere Tage Werke unter anderem in den USA schließen. JBS zahlte den Angreifern umgerechnet 11 Millionen Dollar in Kryptowährungen.

Bei der jüngsten Attacke versprechen die Angreifer in einem Blogeintrag nun die Entschlüsselung der betroffenen Systeme binnen einer Stunde, falls die 70 Millionen US-Dollar bezahlt werden, wie unter anderem die IT-Sicherheitsfirma Sophos berichtete. “Wenn REvil jetzt gewinnt, werden sie nicht mehr aufzuhalten sein”, warnte F-Secure-Experte Hyppönen bei Twitter.

Erpressungssoftware – bekannt auch unter dem englischen Namen Ransomware – ist schon seit langem im Umlauf. Verbraucher sind meist in Gefahr, wenn sie auf Links in fingierten E-Mails klicken. Im Jahr 2017 gab es binnen weniger Wochen zwei große Angriffswellen mit den Ransomware-Programmen “WannaCry” und “NotPetya”, damals waren unter anderem britische Krankenhäuser, Anzeigetafeln der Deutschen Bahn sowie Computer unter anderem bei der Reederei Maersk, dem Nivea-Konzern Beiersdorf und dem Autobauer Renault betroffen.

Damals schien sich die Schadsoftware allerdings eher unkoordiniert von Computer zu Computer auszubreiten – und nach Einschätzung einiger Experten ging es den Hackern mehr ums Stören als ums Geldverdienen. Die Hacker lebten hauptsächlich davon, dass hin und wieder ein verzweifelter Verbraucher sich auf die Lösegeld-Forderung einließ. Inzwischen steckt hinter den Attacken eine professionell organisierte Untergrund-Industrie, die zielgerichtet den maximalen Profit herausschlagen will.

Entsprechend prominent sind heuer die Angriffsziele. Wenige Wochen vor dem Fleischkonzern JBS traf es den Betreiber einer der wichtigsten Benzinpipelines in den USA. Der Stopp der Pumpen sorgte zum Teil für Panikkäufe an der US-Ostküste. Die Betreiberfirma Colonial zahlte den Hackern 4,4 Millionen Dollar – gut die Hälfte davon wurde allerdings wenig später vom FBI im Netz beschlagnahmt.

Ein dramatisches Detail im aktuellen Fall ist, dass die Schwachstelle bei Kaseya bereits von niederländischen Sicherheitsforschern entdeckt worden war – und sie zusammen mit dem Unternehmen daran arbeiteten, sie zu schließen. “Unglücklicherweise wurden wir im Schlussspurt von REvil geschlagen”, schrieben die Experten in einem Blogeintrag.

Von: APA/dpa/Reuters

Kommentare

Hinterlasse einen Kommentar

14 Kommentare auf "Hacker fordern nach Cyberattacke 70 Mio. Dollar Lösegeld"


Sortiert nach:   neuste | älteste | Relevanz
@
@
Superredner
19 Tage 18 h

Nie nächsten Kriege werden nicht mehr mit Atombomben sondern mit Computern geführt. Wenn es Hackern gelingt, Verkehrsleitsysteme, Energieversorger, Telekommunikationsdienste usw. zu infiltrieren und manipulieren, dann sind sie imstande, ein ganzes Land lahm zu legen.

primetime
primetime
Universalgelehrter
19 Tage 15 h

Das wären die schon in der Lage nur passieren solche Spitzelangriffe bisher nur versteckt. Interessant für einen digitalen Krieg sind nur Zweige welche die Wirtschaft und Grundversorgung eines Landes treffen.
Alles andere ist nur ein Machtspiel von Hackergruppen in der hoffnung das große Geld zu machen oder zumindest in den Nachrichten zu erscheinen. Der generelle Entsperrschlüssel liegt in der Ransomware versteckt. Man muss diesen nur finden und schon kann alles rückgängig gemacht werden

sophie
sophie
Universalgelehrter
19 Tage 11 h

@primetime
Do hobmo woll Spezialischtn, hochintelligent !!

JohnnySilverhand
19 Tage 9 h

Viel Spaß dabei einen verschlüsselten Code zu encodieren der aus einem mix von RSA, AES-256 und SHA-256 entsteht. Kann doch jeder 🤷🏻‍♂️

primetime
primetime
Universalgelehrter
19 Tage 8 h

@sophie Warum so “provokant”? Das hat nix mit Spezialist zu tun sondern Technikaffin, erweitertes Wissen der IT und logisches denken

primetime
primetime
Universalgelehrter
19 Tage 8 h

Und a bissl Tecniknews lesen…net mehr, net weniger

primetime
primetime
Universalgelehrter
19 Tage 8 h

@JohnnySilverhand ist mit einigen Ransomwareprogrammen schon passiert. Ganz ohne encodierung sondern reverse engineering oder studieren des Quellcodes (wenn ich mich recht erinnere).
Ob das in diesem Fall auch so ist weis ich nicht, jedoch generell machbar

JohnnySilverhand
19 Tage 5 h

@primetime habe auch nicht geschrieben das es nicht machbar ist, aber ich bin mir sicher das es schneller geht einen Backup hochzuladen als einen cryptolocker zu entschlüsseln. Reverse Engineering analysiert die Struktur eines Systems, wie zum Beispiel Ghidra oder IDA. Dadurch bekommst du eine Perspektive auf die verwendeten Codierungen. Das bringt dich aber noch lange nicht zur Lösung des Problems. Der Aufwand und die technischen Voraussetzungen sind extrem hoch.

Noggi
Noggi
Grünschnabel
19 Tage 11 h

Das kommt davon wenn man sein it system nicht jährlich auf vodermann bringt, da man das immernoch als nicht wichtig erachtet. Aus fehlern wird man hoffentlich lernen

JohnnySilverhand
19 Tage 8 h

Hat damit überhaupt nichts zu tun, den Cracker (nicht Hacker) ist es gelungen den IT-Dienstleister Kaseya zu cracken, und damit dessen Nutzer. Die Ransomware wurde als Update getarnt, kann jedem passieren.

primetime
primetime
Universalgelehrter
19 Tage 7 h

@Noggi das beste Antivirus hilft nichts wenn der Benutzer blind auf Ja/Annehmen clickt

Noggi
Noggi
Grünschnabel
19 Tage 7 h

Nein, ganz sicher nicht, kannst mir nichts erzählen. In so einem fall helfen eben gute backups 🙂

JohnnySilverhand
19 Tage 6 h

Hier reden wir von ein ganz anderen Liga, Kaseya entwirft verschiedene Softwares und ist auch in der Cybersecurity Branche aktiv, den cracker ist es gelungen die ransomware suf den Servern von Kaseya als Update zu tarnen. Die Endbenutzer haben also „offizielle“ Updates von „offiziellen“ Servern von Kaseya Installiert. Ein Beispiel: Morgen machst du ein Windows Update und infizierst so deinen Computer.

Hustinettenbaer
Hustinettenbaer
Universalgelehrter
18 Tage 20 h

“Die Hackergruppe nutzte eine Schwachstelle beim amerikanischen IT-Dienstleister Kaseya …die … bei Kaseya bereits von niederländischen Sicherheitsforschern entdeckt worden war – und sie zusammen mit dem Unternehmen daran arbeiteten, sie zu schließen. “Unglücklicherweise wurden wir im Schlussspurt von REvil geschlagen”, schrieben die Experten in einem Blogeintrag.”
https://www.stern.de/digital/kaseya-software-gehackt–70-millionen-dollar-fuer-generalschluessel-30602306.html

wpDiscuz