Ransomware-Angriff »REvil« erpresst bis zu 1500 Firmen

Der IT-Dienstleister Kaseya hat eingeräumt, dass Unternehmen in 17 Ländern Opfer der Ransomware-Attacke sind. Die Zahl der Opfer in Deutschland ist unklar, die IT-Sicherheitsbehörde schließt weitere Fälle nicht aus.
Wenn die Erpressernachricht erscheint, ist es meist zu spät, etwas gegen Ransomware zu unternehmen

Wenn die Erpressernachricht erscheint, ist es meist zu spät, etwas gegen Ransomware zu unternehmen

Foto: Frank Rumpenhorst / dpa

Nach einem der größten bekannten Ransomware-Angriffe wird das Ausmaß des Schadens allmählich klar. Weltweit sind offenbar zwischen 800 und 1500 Unternehmen von dem Vorfall betroffen. Dies bestätigte der Vorstandsvorsitzende der US-IT-Dienstleisters Kaseya, Fred Voccola, in einem Interview mit der Nachrichtenagentur Reuters. Kaseya wurde gehackt und so zum Ausgangspunkt der Attacke. Bisher haben sich Betroffene in insgesamt 17 Ländern gemeldet. Die Opfer müssen sich nun die Frage stellen: Bezahlen sie die Erpresser oder versuchen sie, die Schadsoftware auf andere Weise loszuwerden?

Voccola erklärte, es sei schwer, die genauen Auswirkungen des Angriffs vom vergangenen Freitag abzuschätzen, da die Betroffenen hauptsächlich Kunden von Kaseya seien. Es handelte sich um eine sogenannte Supply-Chain-Attacke, bei der die Kriminellen einen Softwarezulieferer infiltrierten, aber erst zuschlugen, als die Programme auf den Rechnern der Kunden installiert war – von denen einige wiederum selbst IT-Dienstleister für andere Firmen sind. Kaseya sei im Moment dabei, die Schwachstelle zu beheben.

Kaseya bietet Softwareprogramme für Firmen an, die ihren Kunden administrative und organisatorische Arbeiten abnehmen. Die Hackergruppe »REvil« steht im Verdacht, das Desktop-Management-Tool VSA von Kaseya gekapert und ein schadhaftes Update aufgespielt zu haben, das Kunden des Tech-Management-Anbieters infizierte. Diese wiederum infizierten dann ihre eigenen Kunden. Dabei wurden ganze Abrechnungssysteme durch die Verschlüsselung der Hacker blockiert. Bisher gibt es keine Berichte über große Produktionsausfälle. In Schweden mussten am Wochenende allerdings Hunderte von Supermärkten schließen, weil ihre Kassen nicht funktionierten. In Neuseeland waren elf Schulen und mehrere Kindergärten betroffen. (Mehr zu »REvil« und den Methoden der Gruppe lesen Sie hier.)

Angreifer wollen feilschen

Bei der Lösegeldsumme hat »REvil« neue Wege beschritten. Zwar versuchen die Kriminellen wie bisher von jedem einzelnen Unternehmen mindestens fünfstellige Beträge zu erpressen – die Rede ist von 45.000 US-Dollar. Von den Plattformen, die die Software an ihre Kunden weiterverteilt haben, verlangen die Kriminellen einen wesentlich höheren Betrag: Nach Berichten sind es fünf Millionen Dollar. Gleichzeitig hat die Gruppe auf dem eigenen Blog im Darknet ein Gesamtangebot veröffentlicht: Für 70 Millionen Dollar werde man eine Software bereitstellen, mit der jedes Opfer seine Daten befreien könne.

In der Vergangenheit hatte »REvil« immer wieder Höchstsummen für gehackte Daten verlangt, war damit aber nicht immer erfolgreich. Auch nach der neuesten Attacke zeigten sich die Kriminellen schnell bereit, die geforderten Beträge herunterzuschrauben. Kaseya-Vorstandsvorsitzender Fred Voccola lehnte einen Kommentar zu möglichen Verhandlungen ab.

Am Montag teilte das BSI mit, es habe sich ein zweiter deutscher IT-Dienstleister gemeldet, der von der Attacke getroffen wurde. Man versuche derzeit noch zu klären, wie viele Kunden betroffen sein könnten. Es gebe weitere Meldungen aus dem Cyberabwehrzentrum und dem Bundeskriminalamt. »Die Lage ist weiter dynamisch«, sagte ein Sprecher. Kritische Infrastrukturen oder die Bundesverwaltung sind nach Angaben des BSI nach derzeitiger Kenntnis nicht betroffen.

tmk/AP/Reuters
Die Wiedergabe wurde unterbrochen.