Die Hacker-Gruppe, die am Wochenende hunderte Unternehmen mit Erpressungssoftware angegriffen hat, verlangt 70 Millionen US-Dollar für einen Generalschlüssel zu allen betroffenen Computern. Der Betrag solle in der Digitalwährung Bitcoin bezahlt werden, hiess es in einem Blogeintrag, über den unter anderem die IT-Sicherheitsfirma Sophos berichtete.

Die Hackergruppe REvil nutzte eine Schwachstelle beim amerikanischen IT-Dienstleister Kaseya, um dessen Kunden mit einem Programm zu attackieren, das Daten verschlüsselt und Lösegeld verlangt. REvil behauptet, mehr als eine Million Computer sei infiziert worden.

Von unabhängiger Seite war das Ausmass der Schäden bisher kaum zu überblicken. Die IT-Sicherheitsfirma Huntress sprach von mehr als 1000 Unternehmen, bei denen Systeme verschlüsselt worden seien. Kaseya selbst berichtete, dass weniger als 40 Kunden betroffen gewesen seien. Allerdings waren darunter auch wiederum Dienstleister, die ihrerseits mehrere Kunden haben. So entstand eine Art Domino-Effekt.

Derweil bewerten Cybersecurity-Experten das Geschehen als ausserordentlich ausgefeilt. «Die Ransomware-Attacke über das 4.-Juli-Wochenende, offenbar von der russischsprachigen Hackergruppe REvil ausgeführt, widerspiegelt eine katastrophale Kombination der schlimmsten Cyberangrifftrends des Jahres 2021, nämlich Attacken über die Supply-Chain und Ransomware», meinen die Malware-Forscher von CPR, der Forschungsabteilung von Check Point, in einer Stellungnahme. Zudem sei es noch zu früh, das volle Ausmass der Attacke abzuschätzen. Das könne wohl erst am Mittwoch eingeschätzt werden.

Auch die Virenjäger von Sophos haben seit Bekanntwerden der Attacke die Art und Weise des Angriffs genauer untersucht und kommen zu einem ähnlichen Schluss. «Sophos hat den Angriff in die Rubrik ‚Supply Chain Distribution‘ eingeordnet», berichtet Mark Loman, Director of Engineering bei Sophos. Die Kriminellen nutzten Managed Service Provider (MSP) als «Vertriebsplattform», um so viele Unternehmen wie möglich zu treffen, unabhängig von Grösse oder Branche.

«Im aktuellen Fall war kurz nach dem Angriff klar, dass ein Partner von REvil Ransomware-as-a-Service (RaaS) einen Zero-Day-Exploit nutzte, um die Ransomware über die Virtual Systems Administrator (VSA)-Software von Kaseya zu verteilen», erklärt Loman weiter. Normalerweise biete diese Software einen äusserst vertrauenswürdigen Kommunikationskanal, der MSPs unbegrenzten privilegierten Zugriff ermögliche, um vielen Unternehmen bei ihren IT-Umgebungen zu helfen, so Loman. «Genau diese Plattform wurde nun als Verteiler für die Ransomware umfunktioniert», sagt er.

Loman geht daher davon aus, dass die Angreifer wegen früherer Ransomware-Angriffe reich geworden sind und sich jetzt sehr exquisite Sicherheitslücken leisten können. «Bestimmte Zero-Day-Exploits sind bislang normalerweise nur auf Nationalstaaten-Ebene realisierbar gewesen, die diese Tools normalerweise ganz gezielt für einen bestimmten, isolierten Angriff einsetzen», sagt Loman.

In den Händen von Cyberkriminellen könne ein solcher ‚Premium-Exploit‘ für eine Schwachstelle in einer globalen Plattform viele Unternehmen gleichzeitig treffen und Auswirkungen auf unser tägliches Leben haben, führt er weiter aus..