Zwischen 800 und 1.500 Unternehmen auf der ganzen Welt wurden am Freitag von einem Cyberangriff kompromittiert oder betroffen, der laut Sicherheitsexperten der größte Angriff in der Geschichte mit Ransomware sein könnte, bei dem Hacker Systeme herunterfahren, bis ein Lösegeld gezahlt wird.
„Dies ist der bisher schlimmste Ransomware-Vorfall, aber wenn wir keine Maßnahmen ergreifen, steht das Schlimmste noch bevor“, sagte Kyle Hanslovan, CEO des Cybersicherheitsunternehmens Huntress Labs.
Hacker haben Kaseya kompromittiert, einen in Miami ansässigen Softwarehersteller, der Zehntausenden von Unternehmen auf der ganzen Welt Technologiedienste anbietet. Viele ihrer Kunden sind sogenannte Managed Service Provider, die wiederum anderen Unternehmen Sicherheit und technischen Support bieten und gemeinsam Millionen von Unternehmen erreichen.
„Es ist total scheiße“, sagte Fred Voccola, CEO von Kaseya, in einem Video, das am frühen Dienstag auf YouTube veröffentlicht wurde und sich an die Kunden des Unternehmens wandte. “Wenn ich du wäre, wäre ich sehr, sehr frustriert, und das solltest du auch.”
Er sagte, Kaseya arbeite mit dem FBI, dem Department of Homeland Security und dem Weißen Haus zusammen, um das Problem anzugehen.
Ungefähr 50 der direkten Kunden von Kaseya seien bei einem Angriff kompromittiert worden, sagte Herr Voccola, darunter Dutzende von Managed Service Providern.
Eine in Russland ansässige cyberkriminelle Organisation namens REvil machte sich am Sonntag für den Angriff verantwortlich und prahlte auf ihrer Website – genannt „Happy Blog“ – im Dark Web. Einige Opfer wurden um 5 Millionen US-Dollar Lösegeld gebeten, sagte Huntress Labs.
Brett Callow, ein Bedrohungsanalyst für die Cybersicherheitsfirma Emsisoft, sagte, REvil habe auch 45.000 US-Dollar in Kryptowährung für jedes Computersystem verlangt, das ein Opfer wiederherstellen wollte.
REvil sagte auch, es werde ein Tool veröffentlichen, das es allen infizierten Unternehmen ermöglichen würde, ihre Daten wiederherzustellen, wenn sie 70 Millionen US-Dollar in Bitcoin erhalten würden.
„Wenn Sie an einem solchen Deal interessiert sind, kontaktieren Sie uns“, schrieb die Gruppe und fügte hinzu, dass sie den Opfern eine Möglichkeit geboten habe, die Organisation zu kontaktieren.
Jack Cable, Sicherheitsforscher der Krebs Stamos Group, sagte, er habe sich an REvil gewandt über das Wochenende und die Gruppe sagte, sie sei zu Verhandlungen bereit. Es bot an, den Preis für das Tool auf 50 Millionen US-Dollar in Bitcoin zu senken, sagte er.
Jen Psaki, die Pressesprecherin des Weißen Hauses, sagte während einer Pressekonferenz am Dienstag: „Wir raten Unternehmen davon ab, Ransomware zu zahlen, da dies schlechte Akteure dazu anregt, dieses Verhalten zu wiederholen“.
Frau Psaki sagte, amerikanische Sicherheitsbeamte hätten wegen des Angriffs Kontakt mit russischen Regierungsbeamten aufgenommen. Als Präsident Biden letzten Monat in Genf den russischen Präsidenten Wladimir Putin traf, forderte er Russland auf, Ransomware-Angriffe einzudämmen, die in den letzten Monaten immer häufiger geworden sind. Das FBI sagte, dass REvil im Mai hinter dem Hacken des weltgrößten Fleischverarbeiters JBS steckt.
„Wenn die russische Regierung nicht gegen in Russland ansässige kriminelle Akteure vorgehen kann oder will, werden wir selbst Maßnahmen ergreifen oder uns das Recht vorbehalten, Maßnahmen zu ergreifen“, sagte Frau Psaki.
Der Cyberangriff von Kaseya hatte kaskadierende Auswirkungen auf der ganzen Welt und berührte Unternehmen in mehr als einem Dutzend Ländern, darunter die Vereinigten Staaten, Deutschland, Australien und Brasilien. In Schweden musste der Lebensmittelhändler Coop am Samstag mehr als 800 Geschäfte schließen, und jeder Standort musste besucht werden, um die durch den Hack verursachten Probleme zu beheben. Betroffen seien auch eine schwedische Bahn und eine Apothekenkette, teilten Sicherheitsforscher mit.
Herr Voccola sagte, dass ein solcher Angriff unvermeidlich sein würde.
„Sogar die beste Verteidigung der Welt wird gewertet“, sagte er.
Ein allgemeiner Refrain, den er von Regierungsbeamten und Sicherheitsexperten gehört habe, lautete, dass es bei Cyberangriffen „keine Frage des Ob, sondern des Wann“ sei.