Rätselhafte Cyberattacke: US-Geheimdienste prüfen

Eine Ransomware-Cyberattacke auf die US-IT-Firma Kaseya sorgt kurz vor dem amerikanischen Unabhängigkeitstag für Rätselraten.

US-Präsident Joe Biden sagte am Samstagnachmittag (Ortszeit), dass man ursprünglich nicht die russische Regierung hinter der Attacke vermutet habe. Mittlerweile sei man sich diesbezüglich aber "nicht sicher".

Experten zufolge könnten mehr als tausend Unternehmen vom Angriff betroffen sein. In Schweden mussten hunderte Supermarktfilialen schließen.

Waren es die Russen?

Biden beauftragte die US-Geheimdienste, den Fall zu untersuchen. "Die ursprüngliche Deutung war, dass es sich nicht um die russische Regierung gehandelt hat, aber wir sind uns noch nicht sicher", sagte der US-Präsident am Vortag des größten US-Feiertages. Sollte sich herausstellen, dass Russland schuld sei, werde es eine Antwort Washingtons geben.

US-Unternehmen waren in der jüngsten Vergangenheit mehrfach Ziel von Cyberattacken geworden, für die jeweils russische Hacker verantwortlich gemacht worden waren. Biden und sein russischer Amtskollege Wladimir Putin hatten Mitte Juli bei ihrem Gipfel in Genf vereinbart, sich des Problems mit einer gemeinsamen Arbeitsgruppe anzunehmen.

Netzwerk von rund 200 Firmen

Nach Angaben der auf Cybersicherheit spezialisierten Beratungsfirma Huntress Labs wurde die VSA-Software von Kaseya manipuliert, "um mehr als tausend Unternehmen zu verschlüsseln".

Das IT-Unternehmen Kaseya hatte am Freitag die Cyberattacke bestätigt und versichert, der Angriff sei eingedämmt worden, so dass nur ein "sehr kleiner Prozentsatz" der Kunden betroffen sei, die das sogenannte VSA-Netzwerk von Kaseya nutzten. Zuvor hatte Huntress Labs erklärt, die Computernetzwerke von rund 200 Firmen seien bei dem Hackerangriff "verschlüsselt" worden.

Bei Angriffen mit Ransomware sperren oder verschlüsseln Hacker die Computersysteme ihrer Opfer, um von den Nutzern Geld für die Freigabe ihrer Daten zu erpressen. Kaseya ist nach eigenen Angaben ein führender Anbieter für Informationstechnologie und IT-Sicherheit für kleine und mittlere Unternehmen. Über den VSA-Server können Unternehmen all ihre Computer und Drucker von einem einzigen Arbeitsplatz aus steuern.

"Wir sind dabei, mit einem hohen Maß an Vorsicht die eigentliche Ursache für den Vorfall zu untersuchen", erklärte Kaseya zunächst in einem Forum des Onlinedienstes Reddit. Die Firma forderte ihre Kunden auf, sofort ihren sogenannten VSA-Server abzuschalten, "bis Sie von uns weitere Informationen erhalten".

Später erklärte Kaseya, seine Kunden seien über die Firmen-Website, per E-Mail, Anzeige auf dem Rechner und per Telefon über den Vorfall unterrichtet und zum Abschalten ihrer VSA-Server aufgefordert worden. "Wir denken, dass wie die Quelle der Anfälligkeit gefunden haben, und bereiten eine Korrektur vor", erklärte das in Miami ansässige Unternehmen weiter, das nach eigenen Angaben mehr als 40.000 Kunden hat.

Angriffe auch in Schweden

Eine der größten schwedischen Supermarktketten musste eigenen Angaben zufolge am Samstag rund 800 Filialen vorübergehend schließen, weil ihre Kassen nicht mehr funktionierten. Ein Subunternehmer sei nämlich Ziel des digitalen Angriffs geworden, teilte Coop Schweden mit. Details nannte das Unternehmen nicht.

Die schwedische Tochtergesellschaft des Softwarekonzerns Visma teilte jedoch mit, das Problem stehe im Zusammenhang mit einem größeren Cyberangriff auf das amerikanische IT-Unternehmen Kaseya am Freitag.

Neben anderen Unternehmen war auch das staatliche Bahnunternehmen SJ betroffen. Fahrgäste konnten dadurch im Bistro nicht mit Karte zahlen.

Am Freitagabend habe es einen Angriff auf einen Dienstleister von Coop gegeben, der sowohl die normalen Kassensysteme als auch Selbstbedienungskassen der Supermärkte betraf, berichtete SVT. Man habe die ganze Nacht an den Problemen gearbeitet, sie jedoch noch nicht lösen können, sagte eine Sprecherin dem Sender. In einzelnen Regionen konnten einige Filialen im Land wieder aufmachen, wobei manche andere Bezahlsysteme nutzten.

Die US-Behörde für Cybersicherheit (CISA) teilte mit, dass sie den Vorfall untersuche. Sie rief Unternehmen auf, die Anweisungen von Kaseya zu befolgen und ihren VSA-Server sofort abzuschalten. Die Cyberattacke ereignete sich vor dem Wochenende, an dem der Unabhängigkeitstag der USA gefeiert wird.

Hackergruppe REvil

Nach Einschätzung des Computer-Notfallteams der neuseeländischen Regierung steckte hinter der Cyberattacke eine Hackergruppe namens REvil.

Im Mai waren die Colonial-Ölpipeline in den USA und die US-Tochter des weltgrößten Fleischproduzenten JBS Opfer eines Cyberangriffs mit Ransomware geworden. Voriges Jahr hatten sich Hacker über Software des US-IT-Unternehmens SolarWinds Zugang zu den Systemen von Ministerien, Behörden und Unternehmen verschafft.

Die US-Bundespolizei FBI machte Hacker in Russland für diese Cyberattacken verantwortlich. Die Attacke auf JBS wurde demnach von REvil verübt.