Unternehmen auf der ganzen Welt beeilten sich am Samstag, einen Ransomware-Angriff einzudämmen, der ihre Computernetzwerke lahmgelegt hat, eine Situation, die in den USA durch die Büros, die zu Beginn des Ferienwochenendes am 4. Juli schwach besetzt waren, kompliziert wurde.
Es ist noch nicht bekannt, wie viele Unternehmen von Lösegeldforderungen betroffen sind, um ihre Systeme wieder zum Laufen zu bringen. Einige Cybersicherheitsforscher sagen jedoch voraus, dass der Angriff auf Kunden des Softwareanbieters Kaseya einer der umfassendsten Ransomware-Angriffe in der Geschichte sein könnte.
Das Cybersicherheitsunternehmen ESET sagt, dass es in mindestens 17 Ländern Opfer gibt, darunter Großbritannien, Südafrika, Kanada, Argentinien, Mexiko, Kenia und Deutschland.
Es folgt einer Geißel schlagzeilenträchtiger Angriffe in den letzten Monaten, die zu diplomatischen Spannungen zwischen US-Präsident Joe Biden und dem russischen Präsidenten Wladimir Putin geführt haben, ob Russland zu einem sicheren Hafen für Cyberkriminelle geworden ist.
Biden sagte am Samstag, er wisse noch nicht genau, wer dafür verantwortlich sei, und fügte hinzu, er habe US-Geheimdienste angewiesen, zu untersuchen, wer hinter dem Angriff steckt.
„Wenn es entweder mit Wissen oder einer Konsequenz Russlands geschieht, habe ich Putin gesagt, dass wir antworten werden“, sagte Biden. “Wir sind uns nicht sicher. Der erste Gedanke war, dass es nicht die russische Regierung war.”
Cybersicherheitsexperten sagen, dass die REvil-Gang, ein großes russischsprachiges Ransomware-Syndikat, anscheinend hinter dem Angriff auf Kaseya steckt, der sein Netzwerkverwaltungspaket als Kanal nutzt, um die Ransomware über Cloud-Dienstleister zu verbreiten.
„Die Zahl der Opfer liegt hier bereits bei über Tausend und wird wahrscheinlich in die Zehntausende gehen“, sagte der Cybersicherheitsexperte Dmitri Alperovitch vom Think Tank Silverado Policy Accelerator. “Keine andere Ransomware-Kampagne kommt in Bezug auf die Auswirkungen auch nur annähernd heran.”
In Schweden konnten laut SVT, dem öffentlich-rechtlichen Sender des Landes, die meisten der 800 Geschäfte der Lebensmittelkette Coop nicht öffnen, weil ihre Kassen nicht funktionierten. Betroffen waren auch die Schwedischen Staatsbahnen und eine große lokale Apothekenkette.
Kaseya arbeitet an einem Patch
Fred Voccola, CEO von Kaseya, sagte in einer Erklärung, dass das Unternehmen glaubt, die Quelle der Schwachstelle identifiziert zu haben und “diesen Patch so schnell wie möglich veröffentlichen wird, um unsere Kunden wieder zum Laufen zu bringen”.
Voccola sagte, dass weniger als 40 der Kunden von Kaseya davon betroffen seien, aber Experten sagten, dass die Ransomware immer noch Hunderte weiterer Unternehmen betreffen könnte, die sich auf die Kunden von Kaseya verlassen, die umfassendere IT-Dienste anbieten.
John Hammond von der Sicherheitsfirma Huntress Labs sagte, er wisse, dass eine Reihe von Managed-Services-Anbietern – Unternehmen, die IT-Infrastrukturen für mehrere Kunden hosten – von der Ransomware getroffen wurden, die Netzwerke verschlüsselt, bis die Opfer die Angreifer bezahlen.
“Es ist vernünftig anzunehmen, dass dies möglicherweise Tausende von kleinen Unternehmen betreffen könnte”, sagte Hammond und stützte seine Schätzung auf die Dienstanbieter, die sich an sein Unternehmen wenden, um Hilfe zu erhalten und Kommentare zu Reddit zu zeigen, die zeigen, wie andere reagieren.
Zumindest einige Opfer schienen Lösegeld in Höhe von 45.000 US-Dollar zu bekommen, was als geringe Forderung angesehen wird, die sich jedoch schnell summieren könnte, wenn sie von Tausenden von Opfern verlangt wird, sagte Brett Callow, ein Ransomware-Experte bei der Cybersicherheitsfirma Emsisoft.
Angriff möglicherweise auf den Feiertag abgestimmt
“Es ist vernünftig anzunehmen, dass das Timing von Hackern für den Feiertag geplant wurde”, sagte James Shank vom Threat Intelligence-Unternehmen Team Cymru.
REvil, die Gruppe, die die meisten Experten mit dem Angriff in Verbindung gebracht haben, war derselbe Ransomware-Anbieter, den das FBI mit einem Angriff auf JBS mit Sitz in Brasilien in Verbindung brachte, einen großen globalen Fleischverarbeiter, der inmitten des US-Gedenktagsfeiertags ein Lösegeld in Höhe von 11 Millionen US-Dollar zahlen musste Wochenende im Mai.
Die US-Bundesbehörde für Cybersicherheit und Infrastruktursicherheit sagte in einer Erklärung, dass sie die Situation genau beobachte und mit dem FBI zusammenarbeite, um mehr Informationen über ihre Auswirkungen zu sammeln.
CISA forderte jeden, der betroffen sein könnte, auf, “Kaseyas Anweisungen zu befolgen, VSA-Server sofort herunterzufahren”. Kaseya führt einen sogenannten virtuellen Systemadministrator oder VSA aus, der verwendet wird, um das Netzwerk eines Kunden aus der Ferne zu verwalten und zu überwachen.
Das privat geführte Kaseya hat seinen Sitz in Dublin und einen US-Hauptsitz in Miami.
