Thomas Trutschel/Photothek über Getty Images
- Ein Ransomware-Angriff auf das in Florida ansässige IT-Unternehmen Kaseya hat Unternehmen auf der ganzen Welt ins Wanken gebracht.
- Cybersicherheitsexperten sagen, dass die mit Russland verbundene Ransomware-Gang REvil anscheinend hinter dem Angriff steckt.
- Die Ransomware-Bande REvil wurde vom FBI beschuldigt, den Fleischverpacker JBS letzten Monat gelähmt zu haben.
- Weitere Geschichten finden Sie auf der Geschäftsseite von Insider.
Unternehmen auf der ganzen Welt beeilten sich am Samstag, einen Ransomware-Angriff einzudämmen, der ihre Computernetzwerke lahmgelegt hat, eine Situation, die in den USA durch die Büros, die zu Beginn des Ferienwochenendes am 4. Juli schwach besetzt waren, kompliziert wurde.
Es ist noch nicht bekannt, wie viele Unternehmen von Lösegeldforderungen betroffen sind, um ihre Systeme wieder zum Laufen zu bringen. Einige Cybersicherheitsforscher sagen jedoch voraus, dass der Angriff auf Kunden des Softwareanbieters Kaseya einer der umfassendsten Ransomware-Angriffe in der Geschichte sein könnte.
Es folgt einer Geißel schlagzeilenträchtiger Angriffe in den letzten Monaten, die zu diplomatischen Spannungen zwischen US-Präsident Joe Biden und dem russischen Präsidenten Wladimir Putin geführt haben, ob Russland zu einem sicheren Hafen für Cyberkriminelle geworden ist.
Biden sagte am Samstag, er wisse noch nicht genau, wer dafür verantwortlich sei, schlug jedoch vor, dass die USA reagieren würden, wenn Russland etwas damit zu tun habe.
„Wenn es entweder mit Wissen von und oder einer Konsequenz Russlands geschieht, habe ich Putin gesagt, dass wir antworten werden“, sagte Biden. “Wir sind uns nicht sicher. Der erste Gedanke war, dass es nicht die russische Regierung war.”
Cybersicherheitsexperten sagen, die REvil-Gang, ein großes russischsprachiges Ransomware-Syndikat, scheint hinter dem Angriff auf das Softwareunternehmen Kaseya zu stecken, das sein Netzwerkverwaltungspaket als Kanal nutzt, um die Ransomware über Cloud-Dienstleister zu verbreiten.
“Die Zahl der Opfer liegt hier bereits bei über tausend und wird wahrscheinlich in die Zehntausende gehen”, sagte der Cybersicherheitsexperte Dmitri Alperovitch vom Think Tank Silverado Policy Accelerator. “Keine andere Ransomware-Kampagne kommt in Bezug auf die Auswirkungen auch nur annähernd heran.”
Das Cybersicherheitsunternehmen ESET sagt, dass es in mindestens 17 Ländern Opfer gibt, darunter Großbritannien, Südafrika, Kanada, Argentinien, Mexiko, Kenia und Deutschland.
In Schweden konnten die meisten der 800 Geschäfte der Lebensmittelkette Coop nicht öffnen, weil ihre Kassen nicht funktionierten, so der öffentlich-rechtliche Sender SVT. Betroffen waren auch die Schwedischen Staatsbahnen und eine große lokale Apothekenkette.
Fred Voccola, CEO von Kaseya, sagte in einer Erklärung, dass das Unternehmen glaubt, die Quelle der Schwachstelle identifiziert zu haben und “diesen Patch so schnell wie möglich veröffentlichen wird, um unsere Kunden wieder zum Laufen zu bringen”.
Voccola sagte, dass weniger als 40 der Kunden von Kaseya davon betroffen seien, aber Experten sagten, dass die Ransomware immer noch Hunderte weiterer Unternehmen betreffen könnte, die sich auf die Kunden von Kaseya verlassen, die umfassendere IT-Dienste anbieten.
John Hammond von der Sicherheitsfirma Huntress Labs sagte, er wisse, dass eine Reihe von Managed-Services-Anbietern – Unternehmen, die IT-Infrastrukturen für mehrere Kunden hosten – von der Ransomware getroffen wurden, die Netzwerke verschlüsselt, bis die Opfer die Angreifer bezahlen.
„Es ist vernünftig anzunehmen, dass dies möglicherweise Tausende von kleinen Unternehmen betreffen könnte“, sagte Hammond und stützte seine Schätzung auf die Dienstanbieter, die sich an sein Unternehmen wenden, um Hilfe zu erhalten und Kommentare zu Reddit zu zeigen, die zeigen, wie andere reagieren.
Zumindest einige Opfer schienen Lösegeld in Höhe von 45.000 US-Dollar zu bekommen, was als kleine Forderung angesehen wird, die sich jedoch schnell summieren könnte, wenn sie von Tausenden von Opfern verlangt wird, sagte Brett Callow, ein Ransomware-Experte bei der Cybersicherheitsfirma Emsisoft.
Callow sagte, es sei nicht ungewöhnlich, dass ausgeklügelte Ransomware-Banden eine Prüfung durchführen, nachdem sie die Finanzunterlagen eines Opfers gestohlen haben, um zu sehen, was sie wirklich bezahlen können, aber das wird nicht möglich sein, wenn es so viele Opfer gibt, mit denen man verhandeln kann.
“Sie haben gerade die Nachfragemenge auf ein Niveau gebracht, das die meisten Unternehmen zu zahlen bereit sind”, sagte er.
Voccola sagte, dass das Problem nur seine “On-Premise”-Kunden betrifft, was bedeutet, dass Unternehmen ihre eigenen Rechenzentren betreiben. Es hat keine Auswirkungen auf seine Cloud-basierten Dienste, auf denen Software für Kunden ausgeführt wird, obwohl Kaseya auch diese Server vorsorglich heruntergefahren hat, sagte er.
Das Unternehmen fügte in einer Erklärung am Samstag hinzu, dass “Kunden, die Ransomware erfahren haben und eine Nachricht von den Angreifern erhalten, nicht auf Links klicken sollten – sie könnten als Waffe eingesetzt werden.”
Gartner-Analyst Katell Thielemann sagte, es sei klar, dass Kaseya schnell aktiv wurde, aber es ist weniger klar, ob ihre betroffenen Kunden das gleiche Maß an Bereitschaft hatten.
“Sie haben mit großer Vorsicht reagiert”, sagte sie. “Aber die Realität dieses Ereignisses ist, dass es auf maximale Wirkung ausgelegt ist und einen Angriff auf die Lieferkette mit einem Ransomware-Angriff kombiniert.”
Angriffe auf die Lieferkette sind solche, die normalerweise weit verbreitete Software infiltrieren und Malware verbreiten, wenn sie automatisch aktualisiert wird.
Erschwerend kommt hinzu, dass dies zu Beginn eines großen Feiertagswochenendes in den USA geschah, als die meisten IT-Teams der Unternehmen nicht voll besetzt waren.
Dies könnte auch dazu führen, dass diese Unternehmen andere Sicherheitsschwachstellen nicht mehr beheben können, wie beispielsweise ein gefährlicher Microsoft-Fehler, der Software für Druckaufträge betrifft, sagte James Shank vom Threat Intelligence-Unternehmen Team Cymru.
“Die Kunden von Kaseya befinden sich in der schlimmsten Situation”, sagte er. “Sie laufen gegen die Zeit, um Updates zu anderen kritischen Fehlern zu veröffentlichen.”
Shank sagte, “es ist vernünftig anzunehmen, dass das Timing von Hackern für den Urlaub geplant wurde”.
Die US-Handelskammer sagte, es betreffe Hunderte von Unternehmen und sei „eine weitere Erinnerung daran, dass die US-Regierung den Kampf gegen diese ausländischen cyberkriminellen Syndikate führen muss“, indem sie sie untersucht, stört und strafrechtlich verfolgt.
Die Bundesbehörde für Cybersicherheit und Infrastruktursicherheit sagte in einer Erklärung, dass sie die Situation genau beobachte und mit dem FBI zusammenarbeite, um mehr Informationen über ihre Auswirkungen zu sammeln.
CISA forderte jeden, der betroffen sein könnte, auf, “Kaseyas Anweisungen zu befolgen, VSA-Server sofort herunterzufahren”. Kaseya führt einen sogenannten virtuellen Systemadministrator oder VSA aus, der verwendet wird, um das Netzwerk eines Kunden aus der Ferne zu verwalten und zu überwachen.
Das privat geführte Kaseya hat seinen Sitz in Dublin, Irland, mit einem US-Hauptsitz in Miami.
REvil, die Gruppe, die die meisten Experten mit dem Angriff in Verbindung gebracht haben, war derselbe Ransomware-Anbieter, den das FBI mit einem Angriff auf JBS SA in Verbindung brachte, einen großen globalen Fleischverarbeiter, der am Memorial Day-Feiertagswochenende im Mai ein Lösegeld in Höhe von 11 Millionen US-Dollar zahlen musste.
Der Konzern ist seit April 2019 aktiv und bietet Ransomware-as-a-Service an, das heißt, er entwickelt die netzwerklähmende Software und vermietet sie an sogenannte Affiliates, die Ziele infizieren und den Löwenanteil der Lösegelder verdienen.
US-Beamte sagten, dass die mächtigsten Ransomware-Banden in Russland und verbündeten Staaten ansässig sind und mit der Toleranz des Kremls operieren und manchmal mit russischen Sicherheitsdiensten zusammenarbeiten.
Alperovitch sagte, er glaube, der jüngste Angriff sei finanziell motiviert und nicht vom Kreml geleitet.
Er sagte jedoch, es zeige, dass Putin “noch nicht dazu übergegangen ist”, Cyberkriminelle in Russland zu schließen, nachdem Biden ihn bei ihrem Juni-Gipfel in der Schweiz dazu gedrängt hatte.
Angesprochen auf den Angriff während einer Reise nach Michigan am Samstag sagte Biden, er habe den Geheimdienst um einen „tiefen Einblick“ in die Ereignisse gebeten. Er sagte, er erwarte, bis Sonntag mehr zu wissen.
___
Die AP-Reporter Frank Bajak in Boston, Eric Tucker in Washington und Josh Boak in Central Lake, Michigan, trugen zu diesem Bericht bei.