Cyberattacke auf Kaseya: Diese perfide Masche nutzen die Hacker
Ein groß angelegter Cyberangriff auf eine IT-Firma in den USA zieht Kreise bis nach Europa. Tausende Computer sind in Deutschland infiziert. Unternehmen sollen Lösegeld in Bitcoin zahlen, um an ihre verschlüsselten Daten zu kommen.
Ransomware-Angriffe nehmen zu: Hackergruppen fordern oftmals Lösegeld in Bitcoin.
Foto: panthermedia.net/AndreyPopov
Eine neue Cyberattacke mit Erpressungssoftware hat Hunderte Unternehmen und Tausende Computer in den USA sowie Europa getroffen. Der Hackerangriff hat auch Auswirkungen auf Deutschland.
Am Wochenende hat eine Hackergruppe zahlreiche Unternehmen mit einer Erpressungssoftware angegriffen. 70 Millionen US-Dollar verlangen die Erpresser für einen Generalschlüssel zu allen gehackten Computern. Die Lösegeldsumme wird in der Digitalwährung Bitcoin gefordert, so die IT-Sicherheitsfirma Sophos in einem Blogbeitrag. Hinter der Cyberattacke soll die Hackergruppe REvil stecken. Vor einigen Monaten erpresste die russischsprachige Gruppe den weltgrößten Fleischverarbeiter JBS um elf Millionen Dollar. REvil verschlüsselt auf den Computern Daten und verlangt daraufhin Lösegeld – in der Regel in einer Kryptowährung. Hier spricht man von einer sogenannten „Supply Chain Attack“. Statt einzelner Firmen wird die Software eines Dienstleisters oder Unternehmens angegriffen. Auf diese Weise treffen die Hacker viel mehr Rechner.
Cyberangriff betrifft auch Europa
Nicht nur in den USA zieht der Cyberangriff Kreise – in Schweden musste die Supermarktkette Coop ihre Läden schließen. US-Sicherheitsbehörden sprachen von 200 betroffenen US-Unternehmen. Infektionen wurden in zwölf Ländern festgestellt. Wie konnte es genau dazu kommen?
Die Hackergruppe nutzte am Wochenende eine Schwachstelle beim amerikanischen IT-Dienstleister Kaseya. Kunden von Kaseya wurden mit einem Programm attackiert, das Daten verschlüsselt und umgehend Lösegeld fordert. Insgesamt sollen über eine Million Computer infiziert sein. Die Virtual System Administrator-Software (VSA) des IT-Dienstleisters wird von Unternehmen genutzt, um Updates auf Firmencomputer zu spielen.
Den Hackern gelang eine Art Domino-Effekt. Die betroffenen Kunden von Kaseya haben ebenfalls Kunden, die von der Attacke betroffen sind. So reicht der Cyberangriff bis nach Deutschland. Laut einer Analyse von Kaspersky trafen 3,2 Prozent der REvil-Angriffsversuche Deutschland. Kaspersky-Forscher haben bereits über 5.000 Infektionsversuche in Europa, Nord- und Südamerika beobachtet.
Bitcoin: Kurs bricht erneut ein – gehört Krypto noch die Zukunft?
IT-Dienstleister in Deutschland betroffen
Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sei zunächst ein IT-Dienstleister und mehrere seiner Kunden betroffen. Einige tausend Computer sollen bei mehreren Unternehmen infiziert sein. Bei diesem Cyberangriff handelt es ich um Ransomware-Hacker.
„Ein IT-Dienstleister hat sich gemeldet, weil er betroffen ist“, sagte ein BSI-Sprecher.
Weitere betroffene Firmen haben Angriffe nachgemeldet, da sie ebenfalls gehackt wurden.
Das US-Ministerium für Heimatschutz und das FBI rieten allen Kaseya-Kunden, ihre VSA-Server zu schließen.
In Schweden wurden neben der Supermarktkette Coop auch die staatliche Bahngesellschaft SJ, die Tankstellenkette ST1 und der Apothekenbetreiber Apotek Hjärtat gehackt.
Die meisten Angriffsversuche waren in den folgenden fünf Ländern zu verzeichnen:
- Italien (45,2 Prozent)
- die USA (25,9 Prozent)
- Kolumbien (14,8 Prozent)
- Deutschland (3,2 Prozent)
- und Mexiko (2,2 Prozent).
Ransomware: So werden Sie Erpressungstrojaner wieder los
Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder zur Attacke:
„Mit der jüngsten Attacke auf das IT-Unternehmen Kaseya wird eine besonders perfide Masche genutzt, um Unternehmen in aller Breite zu attackieren. Viele Unternehmen lassen sich von externen IT-Dienstleistern unterstützen. Wird aber die beim Dienstleister eingesetzte Software infiltriert, kann der Angriff quasi beliebig skaliert werden. Die Cyberkriminellen machen sich die Hebelwirkung über den IT-Dienstleister zu Nutze, indem sie die Zielsysteme der Endkundinnen und -kunden verschlüsseln und horrende Lösegelder erpressen. Wird ein solcher Angriff erfolgreich geführt, fallen die Kundinnen und Kunden reihenweise um. (…).“
Durch Datendiebstahl oder Spionage ist der deutschen Wirtschaft 2019 ein Gesamtschaden von über 100 Milliarden Euro entstanden. Viele Unternehmen sind durch die Pandemie und den Umzug ins Homeoffice anfälliger für Internetkriminalität geworden. 2020 rechnet Bitkom mit einer deutlich höheren Schadensumme.
Podcast-Tipp: Kryptowährungen auf dem Vormarsch
Dass der Kryptomarkt immer noch mit kriminellen Transfers verbunden wird, liegt unter anderem an Hackerangriffen, die Lösegeld in Bitcoin fordern. Im Podcast „Technik aufs Ohr“ spricht Investor Jascha Samadi über die Entwicklungen und beleuchtet nicht nur die Vorteile von Bitcoin und Co., sondern auch die Schattenseiten. Jetzt reinhören:
Hier wird Ihnen ein externer Inhalt von Podigee angezeigt.
Mit der Nutzung des Inhalts stimmen Sie der Datenschutzerklärung
von youtube.com zu.
Was versteht man unter Ransomware?
Das Wort „ransom“ kommt aus dem Englischen und bedeutet übersetzt „Lösegeld“. Bei Ransomware-Hacks geht es stets um Forderungen von Lösegeld. In der Regel wird die Summe in Bitcoin gefordert, da die Digitalwährung anonym transferiert wird. Bei Ransomware spricht man auch von Erpressersoftware. Ransomware schleicht sich in das Computersystem und sperrt den PC für den User. Schadprogramme sperren den Computer oder verschlüsseln empfindliche Daten. Um wieder an das System zu gelangen, fordern die Hacker Lösegeld.
Verbessert IT-Wissen das Ingenieurgehalt?
Mark Loman, Director of Engineering bei Sophos, ordnet die aktuellen REvil-Ransomwareattacke über Kaseya ein:
„Sophos hat seit Bekanntwerden der neuesten Attacke mit der Ransomware REvil zahlreiche Untersuchungen vorgenommen und den Angriff in die Rubrik ‚Supply Chain Distribution‘ eingeordnet. Die Kriminellen nutzen Managed Service Provider (MSP) als ‚Vertriebsplattform‘, um so viele Unternehmen wie möglich zu treffen, unabhängig von Größe oder Branche. Wir sehen hier ein wiederkehrendes Muster, da Angreifer ihre Methoden ständig mit der Maxime anpassen, eine größtmögliche Wirkung zu erzielen, sei es in finanzieller Hinsicht oder zum Stehlen von Anmeldedaten und anderen proprietären Informationen, die sie später nutzen könnten.“
Laut Loman war im aktuellen Fall schnell klar, dass ein Partner von REvil Ransomware-as-a-Service (RaaS) einen Zero-Day-Exploit nutzte, um die Ransomware über die Virtual Systems Administrator (VSA)-Software von Kaseya zu verteilen. „Normalerweise bietet diese Software einen äußerst vertrauenswürdigen Kommunikationskanal, der MSPs unbegrenzten privilegierten Zugriff ermöglicht, um vielen Unternehmen bei ihren IT-Umgebungen zu helfen. Genau diese Plattform wurde nun als Verteiler für die Ransomware umfunktioniert“, so der Director of Engineering bei Sophos.
„Einige erfolgreiche Ransomware-Gruppierungen haben in letzter Zeit Lösegeld in Millionenhöhe erbeutet, wodurch sie möglicherweise sehr wertvolle Zero-Day-Exploits erwerben können. Bestimmte Exploits sind bislang normalerweise nur auf Nationalstaaten-Ebene realisierbar gewesen, die diese Tools normalerweise ganz gezielt für einen bestimmten, isolierten Angriff einsetzen. In den Händen von Cyberkriminellen kann ein solcher ‚Premium-Exploit‘ für eine Schwachstelle in einer globalen Plattform viele Unternehmen gleichzeitig treffen und Auswirkungen auf unser tägliches Leben haben“, erklärt Mark Loman weiter.
US-Präsident Joe Biden lässt den Cyberangriff durch die Geheimdienste untersuchen. Biden hatte den russischen Präsidenten Wladimir Putin bei deren Treffen in Genf im Juni aufgefordert, die Aktivitäten von Hackergruppen nicht zu tolerieren. Konsequenzen bei weiteren Cyberattacken wurden angedroht.
Der deutsche Industrieverband BDI plant Cyberangriffe mit einer „nationalen Wirtschaftsschutzstrategie“ von Politik und Wirtschaft besser abzuwehren. Kaseya sei währenddessen zuversichtlich, die Schwachstelle gefunden zu haben. Die Systeme werden nach einem Sicherheitstest wieder hochgefahren werden.
Kaspersky gibt Schutztipps
Das Antivirenprogramm Kaspersky hat anlässlich des groß angelegten Hackerangriffs Schutztipps veröffentlicht.
- Eine zuverlässige Endpoint-Sicherheitslösung verwenden, die auf Exploit-Prävention, Verhaltenserkennung und einer Remediation Engine basiert und somit schädliche Aktionen rückgängig machen kann.
- Remote-Desktop-Dienste nicht in öffentlichen Netzwerken freigeben. Sollte es nicht anders gehen, starke Passwörter verwenden.
- Verfügbare Patches für kommerzielle VPN-Lösungen installieren, die Remote-Mitarbeitern Zugriff bieten.
- Software auf allen verwendeten Geräten immer auf dem neuesten Stand halten, um zu verhindern, dass Ransomware Sicherheitslücken ausnutzt.
- Vor allem auf den ausgehenden Datenverkehr achten, um Verbindungen von Cyberkriminellen zu erkennen.
- Daten regelmäßig durch Backups sichern.
- Eine Lösung verwenden, die dabei hilft, Angriffe im Frühstadium zu erkennen und zu blockieren.
- Mitarbeitende regelmäßig in Cybersicherheit schulen.
Lesen Sie auch:
Achtung vor Cyberangriffen: Wie Sie Prozessabläufe sicher gestalten
Was Sie für die Cybersicherheit beachten müssen
IT-Experten warnen eindringlich: Warum Sie das Auto-Update immer ausführen müssen
Ein Beitrag von:
