Anzeige

Hackerangriff

Update 05.07.21, 08:56 Uhr

Die Hackergruppe, die am Wochenende hunderte Unternehmen mit Erpressungssoftware angegriffen hat, verlangt 70 Millionen US-Dollar für einen Generalschlüssel zu allen betroffenen Computern.

Der Betrag solle in der Digitalwährung Bitcoin bezahlt werden, hieß es in einem Blogeintrag, über den unter anderem die IT-Sicherheitsfirma Sophos in der Nacht zum Montag berichtete.

Die Hackergruppe REvil nutzte eine Schwachstelle beim amerikanischen IT-Dienstleister Kaseya, um dessen Kunden mit einem Programm zu attackieren, das Daten verschlüsselt und Lösegeld verlangt. REvil behauptet, mehr als eine Million Computer sei infiziert worden.

Von unabhängiger Seite war das Ausmaß der Schäden bisher kaum zu überblicken. Die IT-Sicherheitsfirma Huntress sprach von mehr als 1000 Unternehmen, bei denen Systeme verschlüsselt worden seien. Kaseya selbst berichtete, dass weniger als 40 Kunden betroffen gewesen seien. Allerdings waren darunter auch wiederum Dienstleister, die ihrerseits mehrere Kunden haben. So entstand eine Art Domino-Effekt.

Auch in Deutschland waren dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zufolge ein IT-Dienstleister und mehrere seiner Kunden betroffen. Es handele sich um einige tausend Computer bei mehreren Unternehmen, sagte ein Sprecher am Sonntag.

Die von Experten in Russland verortete Gruppe REvil steckte vor wenigen Wochen bereits hinter dem Angriff auf den weltgrößten Fleischkonzern JBS. Das Unternehmen musste als Folge für mehrere Tage Werke unter anderem in den USA schließen. JBS zahlte den Angreifern umgerechnet elf Millionen Dollar in Kryptowährungen.

dpa

 

Mo, 05.07.21, 06:58 Uhr

Bei der jüngsten Attacke mit Erpressungssoftware haben Hacker auf einen Schlag hunderte Unternehmen ins Visier genommen. Sie nutzten eine Schwachstelle beim amerikanischen IT-Dienstleister Kaseya, um dessen Kunden mit einem Programm zu attackieren, das Daten verschlüsselt und Lösegeld verlangt.

Folgen waren bis nach Schweden zu spüren, wo die Supermarkt-Kette Coop fast alle Läden schließen musste. Das volle Ausmaß der Schäden blieb zunächst unklar. Die IT-Sicherheitsfirma Huntress sprach von mehr als 1000 Unternehmen, bei denen Systeme verschlüsselt worden seien.

Deutschland ebenfalls betroffen

Beim Bundesamt für Sicherheit in der Informationstechnik (BSI) meldete sich auch ein betroffener IT-Dienstleister aus Deutschland. Dessen Kunden seien in Mitleidenschaft gezogen worden, sagte ein BSI-Sprecher. Es handele sich um einige tausend Computer bei mehreren Unternehmen. Nicht ausgeschlossen sei, dass am Montag weitere Firmen mit Beginn der Arbeitswoche Probleme feststellten.

REvil

US-Präsident Joe Biden ordnete eine Untersuchung des Angriffs durch die Geheimdienste an. «Der erste Eindruck war, dass die russische Regierung nicht dahintersteckt - aber wir sind uns noch nicht sicher», sagte Biden nach Fragen von Reportern am Samstag. IT-Sicherheitsexperten hatten die Attacke anhand des Software-Codes der Hackergruppe REvil zugeordnet, die in Russland verortet wird.

REvil steckte vor wenigen Wochen bereits hinter dem Angriff auf den weltgrößten Fleischkonzern JBS, der als Folge für mehrere Tage Werke unter anderem in den USA schließen musste. Biden hatte den russischen Präsidenten Wladimir Putin bei deren Treffen in Genf im Juni aufgefordert, auch keine Aktivitäten von Hackergruppen zu tolerieren und mit Konsequenzen bei weiteren Attacken gedroht.

Kaseya teilte am Wochenende mit, nach bisherigen Erkenntnissen seien weniger als 40 Kunden betroffen. Allerdings waren darunter auch wiederum Dienstleister, die ihrerseits mehrere Kunden haben. So entstand eine Art Domino-Effekt. Auf diesem Wege traf es auch über mehrere Stufen die schwedische Coop-Kette, bei der die Kassensysteme nicht mehr funktionierten. Nur 5 der gut 800 Märkte - und der Online-Shop - blieben geöffnet.

Der Schaden hätte auf jeden Fall weit größer sein können: Kaseya hat insgesamt mehr als 36 000 Kunden. Mit Hilfe des Kaseya-Programms VSA verwalten Unternehmen Software-Updates in Computer-Systemen. Ein Eindringen in die VSA-Software kann den Angreifern also viele Türen auf einmal öffnen. Kaseya stoppte am Freitag seinen Cloud-Service und warnte die Kunden, sie sollten sofort auch ihre lokal laufenden VSA-Systeme ausschalten. Nach Angaben des Unternehmens waren Kunden des Cloud-Dienstes zu keinem Zeitpunkt in Gefahr - und alle betroffenen Firmen griffen auf lokale VSA-Installationen zurück.

Kaseya sei zuversichtlich, die Schwachstelle gefunden zu haben, wolle sie demnächst schließen und die Systeme nach einem Sicherheitstest wieder hochfahren, hieß es. Am Samstag kam noch ein Kunde zur Liste der Opfer dazu, der sein lokal laufendes VSA-System nicht abgeschaltet hatte.

Erpressungs-Software

Attacken mit Erpressungs-Software hatten zuletzt wiederholt für Schlagzeilen gesorgt. Nur kurz vor dem JBS-Fall stoppte ein Angriff dieser Art den Betrieb einer der größten Benzin-Pipelines in den USA und schränkte die Kraftstoffversorgung in dem Land vorübergehend ein. Den Hackern bringt es Geld: JBS zahlte den Angreifern umgerechnet elf Millionen Dollar in Kryptowährungen, der Pipeline-Betreiber Colonial 4,4 Millionen Dollar. Allerdings konnten Ermittler wenig später gut die Hälfte des Colonial-Lösegeldes beschlagnahmen.

Es ist auch bereits die zweite binnen weniger Monate bekanntgewordene Attacke, bei der Hacker über einen IT-Dienstleister in Systeme seiner Kunden eindringen konnten. Über Wartungssoftware der Firma Solarwinds waren Angreifer vermutlich zu Spionage-Zwecken in Computernetzwerke von US-Regierungsbehörden gekommen, unter anderem beim Finanz- und Energieministerium.

Attacken mit Erpressungs-Trojanern hatten in den vergangenen Jahren mehrfach für Schlagzeilen gesorgt. 2017 legte im Mai der Erpressungs-Trojaner «WannaCry» neben den Computern vieler Privatleute unter anderem Computer in britischen Krankenhäusern sowie Fahrplan-Anzeigen der Deutschen Bahn lahm. Wenige Wochen später traf die Lösegeld-Software «NotPetya» unter anderem die Reederei Maersk und den Nivea-Hersteller Beiersdorf.

Diese Attacken breiteten sich seinerzeit unter anderem deshalb so schnell aus, weil Computer mit älteren Windows-Systemen und nicht geschlossenen Sicherheitslücken für sie ein leichtes Opfer waren. Sie galten deshalb als ein Weckruf für mehr IT-Sicherheit. Dennoch gab es nun erneut mehrere erfolgreiche Angriffe mit Lösegeld-Software.

Der Industrieverband BDI will Cyberattacken mit einer «nationalen Wirtschaftsschutzstrategie» von Politik und Wirtschaft besser abwehren. «Noch nie wurde die deutsche Wirtschaft so stark angegriffen wie heute», sagte BDI-Sicherheitsexperte Matthias Wachter der «Welt am Sonntag». Die Zahl der Angriffe sei in der Corona-Pandemie gestiegen, weil Unternehmen im Homeoffice noch verwundbarer seien. Beim BSI hieß es: «Die Bedrohungslage ist nach wie vor sehr angespannt und wurde durch die Pandemie noch einmal verschärft.»

Mikko Hyppönen von der IT-Sicherheitsfirma F-Secure führt dies unter anderem darauf zurück, dass die Angriffsfläche mit dem digitalen Wandel in allen Branchen immer größer werde. «Wir bringen alles online.» Es werde noch dauern, bis diese allgemeine Bewegung ins Netz angemessen abgesichert werde: «Ich denke nicht, dass wir das Schlimmste schon erlebt haben.»

Raj Samani von der IT-Sicherheitsfirma McAfee sieht das Problem auch darin, dass sich inzwischen im Internet eine ganze Industrie gebildet habe, in der Attacken mit Erpressungssoftware Interessenten als Bezahl-Service angeboten werden. «Es sind kriminelle Gruppen, die darauf aus sind, so viel Lösegeld wie nur möglich herauszupressen.» Zugleich zeigte er Verständnis für Unternehmen, die am Ende entgegen den Empfehlungen von Behörden und Experten Geld an die Hacker bezahlen, weil sie Angst um ihr Geschäft haben.

dpa


Artikel zu diesem Thema

Hackerangriff
Jun 24, 2021

Salzburg: Großmolkerei durch Cyberangriff lahmgelegt

Österreichs drittgrößte Molkerei ist Hackern zum Opfer gefallen.
JBS
Jun 10, 2021

Fleischkonzern JBS: Zahlte Hackern elf Millionen Dollar Lösegeld

Der weltgrößte Fleischkonzern JBS aus Brasilien hat Cyber-Kriminellen beim…
Hackerangriff
Mai 13, 2021

Best of Hacks: Highlights März 2021

Im März rücken unter anderem die Europäische Bankenauf-sichtsbehörde EBA und der…

Weitere Artikel

5G

2021 wächst der weltweite Umsatz mit 5G-Netzinfrastrukturen um 39 %

Der weltweite Umsatz mit 5G-Netzinfrastrukturen wird bis 2021 um 39 % auf insgesamt 19,1 Milliarden USD steigen, so die neuste Prognose des Research- und Beratungsunternehmens Gartner. 2020 betrug dieser Wert noch 13,7 Milliarden USD.
DDoS

2021 auf dem Weg zu 11 Millionen DDoS-Attacken

In der ersten Jahreshälfte 2021 wurde gemäß den Messungen von Netscout ein Rekord von 5,4 Millionen DDoS-Angriffen verzeichnet, was einem Anstieg von 11 Prozent gegenüber dem gleichen Zeitraum im Jahr 2020 entspricht.
Hackerangriff

Unternehmen beklagen immense Schäden durch Cyberangriffe

Es gibt kaum noch Unternehmen in Deutschland, die von Cyberattacken verschont bleiben.
Hacker

DoS-Schwachstelle „Hotcobalt“ in Hacking-Tool Cobalt Strike

Sicherheitsforscher des Sentinel Labs haben in den neuesten Versionen des Cobalt Strike-Servers des beliebten Hacker-Tools mehrere Denial-of-Service-Schwachstellen (CVE-2021-36798) gefunden.
Mobilfunk

1&1 will mit Rakuten aus Japan schnelles Mobilfunknetz aufbauen

Der Telekommunikationsanbieter 1&1 macht Ernst mit dem Aufbau seines 5G-Mobilfunknetzes: Gemeinsam mit dem japanischen Internetunternehmen Rakuten solle das europaweit erste vollständig virtualisierte Mobilfunknetz auf Basis des offenen Standards «Open RAN»…
digitaler Euro

Verbraucherschutz: Digitaler Euro muss Privatsphäre schützen

Ein digitaler Euro sollte aus Sicht von Verbraucherschützern so weit wie möglich die Vorteile von Bargeld abbilden. «Zahlungen in der digitalen Welt sollten wie bei Bargeld auch anonym sein», sagte Dorothea Mohn vom Verbraucherzentrale Bundesverband (vzbv)…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.