Hunderte von Unternehmen auf der ganzen Welt, darunter eine der größten Lebensmittelketten Schwedens, kämpften am Samstag mit potenziellen Cybersicherheitsschwachstellen, nachdem ein Softwareanbieter, der mehr als 40.000 Unternehmen mit Dienstleistungen versorgt, Kaseya, sagte, er sei Opfer eines „ausgeklügelten Cyberangriffs“ geworden.
Sicherheitsforscher sagten, der Angriff könnte von REvil durchgeführt worden sein, einer russischen Cyberkriminellen-Gruppe, von der das FBI sagte, dass sie im Mai hinter dem Hacken des weltgrößten Fleischverarbeiters JBS steckt.
In Schweden musste der Lebensmittelhändler Coop am Samstag laut Sebastian Elfors, Cybersicherheitsforscher des Sicherheitsunternehmens Yubico, mindestens 800 Geschäfte schließen. Vor den Coop-Filialen wiesen Schilder die Kunden ab: «Wir haben eine grosse IT-Störung bekommen und unsere Systeme funktionieren nicht.»
Herr Elfors sagte, dass auch eine schwedische Eisenbahn und eine große Apothekenkette von dem Angriff auf Kaseya betroffen waren. „Es ist total verheerend“, sagte er.
Auf die Frage nach dem Cyberangriff, nachdem er am Samstag auf einer Reise zur Feier des Rückzugs von Covid-19 in den Vereinigten Staaten in Michigan gelandet war, sagte Präsident Biden, er habe sich beim Aussteigen aus dem Flugzeug verzögert, weil er über den Angriff informiert wurde. Er sagte, er habe die „vollen Mittel der Bundesregierung“ angewiesen, Ermittlungen durchzuführen. „Der erste Gedanke war, dass es nicht die russische Regierung war, aber wir sind uns noch nicht sicher“, sagte er.
Opfer der Sicherheitsverletzung wurden von einem Kaseya-Software-Update getroffen, sagte Kevin Beaumont, ein Bedrohungsforscher. Anstatt das neueste Update von Kaseya zu erhalten, erhielten sie die Ransomware von REvil. Kaseya wurde zunächst durch eine zuvor unbekannte Schwachstelle in seinen Systemen angegriffen – bekannt als „Zero Day“, da Softwarehersteller null Tage Zeit haben, um sie zu beheben, wenn solche Schwachstellen entdeckt werden. In der Zwischenzeit können Cyberkriminelle und Spione die Schwachstelle nutzen, um Chaos anzurichten.
Beaumont sagte, der Angriff habe eine ernsthafte Eskalation in der Taktik von Ransomware-Gangs markiert. Bei früheren Angriffen war REvil dafür bekannt, eine Kombination aus Phishing, gestohlenen Passwörtern oder fehlender Multifaktor-Authentifizierung zu durchbrechen.
Niederländische Forscher sagten, sie hätten Kaseya die Schwachstelle gemeldet, aber das Unternehmen arbeitete noch an einem Patch, als dieser verletzt wurde und seine Software-Updates kompromittiert wurden, so die Personen, die über die Zeitleiste informiert wurden.
Der Angriff wurde am Freitag öffentlich, als Kaseya sagte, man untersuche die Möglichkeit, dass er Opfer eines Cyberangriffs geworden sei. Das Unternehmen forderte Kunden, die seine Systemverwaltungsplattform VSA verwenden, auf, ihre Server sofort herunterzufahren, um die Möglichkeit einer Kompromittierung durch Angreifer zu vermeiden.
„Wir erleben einen potenziellen Angriff gegen die VSA, der nur auf eine kleine Anzahl von On-Premise-Kunden beschränkt war“, schrieb Kaseya auf seiner Website und bezog sich dabei auf Organisationen, die ihre Software an ihren eigenen Standorten behalten, anstatt sie in einer Cloud unterzubringen Anbieter. “Wir sind dabei, die Ursache des Vorfalls mit größter Wachsamkeit zu untersuchen.”
Fred Voccola, CEO von Kaseya, sagte in einer Erklärung am Samstag, dass weniger als 40 Kunden von dem Angriff betroffen waren, aber zu diesen Kunden gehören sogenannte Managed Service Provider, die jeweils Dutzenden oder sogar Hunderten von Sicherheits- und Technologietools zur Verfügung stellen können Unternehmen.
Das habe die Schwere des Angriffs noch verstärkt, sagte John Hammond, ein Forscher beim Cybersicherheitsunternehmen Huntress Labs.
„Was diesen Angriff auszeichnet, ist der Trickle-Down-Effekt, vom Managed-Service-Provider bis zum kleinen Unternehmen“, sagte Hammond. „Kaseya wickelt große Unternehmen bis hin zu kleinen Unternehmen weltweit ab, sodass es letztendlich das Potenzial hat, sich auf Unternehmen jeder Größe und Größenordnung auszudehnen.“
Einige der betroffenen Unternehmen wurden um 5 Millionen US-Dollar Lösegeld gebeten, sagte Hammond. Tausende Unternehmen seien gefährdet, sagte er.
Die US-amerikanische Behörde für Cybersicherheit und Infrastruktursicherheit bezeichnete den Vorfall am Freitag in einer Erklärung auf ihrer Website als „Supply-Chain-Ransomware-Angriff“. Es forderte die Kunden von Kaseya auf, ihre Server herunterzufahren, und sagte, es werde untersucht.
Hacker haben in den letzten Monaten eine Reihe prominenter Cyberangriffe gegen US-Unternehmen durchgeführt, darunter JBS und Colonial Pipeline, die Treibstoff entlang der Ostküste transportieren. Beides waren Ransomware-Angriffe, bei denen Hacker versuchen, Systeme herunterzufahren, bis ein Lösegeld gezahlt wird. Auch das Videospielunternehmen Electronic Arts wurde kürzlich gehackt, seine Daten wurden jedoch nicht für Lösegeld aufbewahrt.
Nicole Perlroth und David E. Sänger Berichterstattung beigetragen.