Über 1.000 Firmen lahmgelegt: Hacker wollen 70 Millionen Dollar

Das russische Hackerkollektiv "REvil" hat bei einem der größten erpresserischen Hackerangriffe weltweit Tausende Firmen lahmgelegt. Die Hacker nutzten eine Schwachstelle beim amerikanischen IT-Dienstleister Kaseya, um dessen Kunden mit einem Programm zu attackieren. Dessen Software wird bei IT-Systemzulieferern eingesetzt, unter anderem für Kassensysteme weltweit. Kaseya VSA ist eine Lösung für Fernzugriff, Patchmanagement, Inventarisierung und Backup.

Ganze Abrechnungssysteme wurden durch die Verschlüsselung der Hacker blockiert. Die Folgen waren bis nach Schweden zu spüren, wo die Supermarkt-Kette Coop nur fünf von gut 800 Läden offen halten konnte. Der Rest musste schließen. Die IT-Sicherheitsfirma Huntress sprach von mehr als 1.000 Unternehmen, bei denen Systeme verschlüsselt worden seien.

REvil fordert nun ein Lösegeld von 70 Millionen Dollar. Dann sollten Daten wieder freigegeben werden, postete die Gruppe am Montag auf ihrem Blog. Ein Experte der Cybersicherheitsfirma Recorded Future erklärte, der Eintrag scheine echt zu sein. Die Gruppe betreibe den Blog seit letztem Jahr.

Der Schaden hätte Fall weit größer sein können: Kaseya hat insgesamt mehr als 36.000 Kunden. Mit Hilfe des Kaseya-Programms VSA verwalten Unternehmen Software-Updates in Computer-Systemen. Ein Eindringen in die VSA-Software kann den Angreifern also viele Türen auf einmal öffnen. Kaseya stoppte am Freitag seinen Cloud-Service und warnte die Kunden, sie sollten sofort auch ihre lokal laufenden VSA-Systeme ausschalten. Nach Angaben des Unternehmens waren Kunden des Cloud-Dienstes zu keinem Zeitpunkt in Gefahr - und alle betroffenen Firmen griffen auf lokale VSA-Installationen zurück.

Kaseya sei zuversichtlich, die Schwachstelle gefunden zu haben, wolle sie demnächst schließen und die Systeme nach einem Sicherheitstest wieder hochfahren, hieß es. Am Samstag kam noch ein Kunde zur Liste der Opfer dazu, der sein lokal laufendes VSA-System nicht abgeschaltet hatte.

Zweiter großer Angriff von REvil

US-Präsident Joe Biden ordnete eine Untersuchung des Angriffs durch die Geheimdienste an. "Der erste Eindruck war, dass die russische Regierung nicht dahintersteckt - aber wir sind uns noch nicht sicher", sagte Biden nach Fragen von Reportern am Samstag. 

REvil steckte vor wenigen Wochen bereits hinter dem Angriff auf den weltgrößten Fleischkonzern JBS, der als Folge für mehrere Tage Werke unter anderem in den USA schließen musste. Biden hatte den russischen Präsidenten Wladimir Putin bei deren Treffen in Genf im Juni aufgefordert, auch keine Aktivitäten von Hackergruppen zu tolerieren und mit Konsequenzen bei weiteren Attacken gedroht.

Attacken mit Erpressungs-Software hatten zuletzt wiederholt für Schlagzeilen gesorgt. Nur kurz vor dem JBS-Fall stoppte ein Angriff dieser Art den Betrieb einer der größten Benzin-Pipelines in den USA und schränkte die Kraftstoffversorgung in dem Land vorübergehend ein. Den Hackern bringt es Geld: JBS zahlte den Angreifern umgerechnet 11 Mio. Dollar (9,3 Mio. Euro) in Kryptowährungen, der Pipeline-Betreiber Colonial 4,4 Mio. Dollar. Allerdings konnten Ermittler wenig später gut die Hälfte des Colonial-Lösegeldes beschlagnahmen.

Es ist auch bereits die zweite binnen weniger Monate bekanntgewordene Attacke, bei der Hacker über einen IT-Dienstleister in Systeme seiner Kunden eindringen konnten. Über Wartungssoftware der Firma Solarwinds waren Angreifer vermutlich zu Spionage-Zwecken in Computernetzwerke von US-Regierungsbehörden gekommen, unter anderem beim Finanz- und Energieministerium.