Gestern wurde das Ausmaß des Schadens nach einem der größten bekannten Ransomware-Angriffe der „REvil“-Hackergruppe etwas klarer: Offenbar sind zwischen 800 und 1.500 Unternehmen von dem Angriff betroffen, bestätigte der Vorstandsvorsitzende der US-IT-Dienstleisters Kaseya, Fred Voccola, der Nachrichtenagentur Reuters.
Kaseya-Software VSA als Schneeballsystem genutzt
Als Ausgangspunkt der Attacke wurde Kaseyas Wartungssoftware VSA gehackt. Und Kaseya hat viele Kunden, die ihrerseits wieder Software an ihre eigenen Kunden ausliefern – ein automatisches Schneeballsystem, wie es im Buche steht. Dementsprechend ist auch die enorme Zahl betroffener Unternehmen mit Rechnern, deren Daten aus heiterem Himmel verschlüsselt waren.
Bisher heute haben sich Opfer von “REvil” in insgesamt 17 Ländern gemeldet, die sich nun fragen müssen: Sollen wir die Erpresser bezahlen oder versuchen, die Schadsoftware irgendwie anders zu beseitigen und die Daten zu entschlüsseln?
Die Situation in Deutschland
Gestern meldete das BSI, ein zweiter deutscher IT-Dienstleister, der von der Attacke getroffen wurde, habe sich dort gemeldet. Man versuche gerade noch zu klären, wie viele von dessen Kunden betroffen sein könnten.
Weitere Meldungen stammen aus dem Cyberabwehrzentrum und dem Bundeskriminalamt (BKA). Allerdings sollen nach Angaben des BSI nach dem aktuellen Kenntnisstand weder kritische Infrastrukturen noch die Bundesverwaltung betroffen sein. Kaseya sei im Moment dabei, die Schwachstelle in seiner Software VSA zu beheben.
Die merkwürdige Lösegeld-Strategie der Erpresser
Bei der Lösegeldzahlung hat die „REvil“-Gruppe neue und ungewöhnliche Pfade beschritten.
Die Kriminellen versuchen nach wie vor von jedem einzelnen Unternehmen Beträge in mindestens fünfstelliger Höhe zu erpressen, hier wird im Netz eine Summe von 45.000 US-Dollar genannt.
Plattformen, welche die Software an ihre Kunden weiterverteilt haben, sollen den Erpressern schon wesentlich mehr bezahlen: In diesen Fällen soll es fünf Millionen Dollar kosten.
Parallel dazu hat die Hackergruppe auf ihrem eigenen Blog im Darknet auch ein Gesamt-Angebot veröffentlicht: Gegen Zahlung von 70 Millionen Dollar will man eine Software bereitstellen, mit der jedes Opfer des Ransomware-Angriffs seine Daten selbst befreien könne – eine Art Generalschlüssel.
Schon früher hatte »REvil« immer wieder Höchstsummen für die Entschlüsselung von Daten verlangt, was aber nicht immer funktionierte. Auch nach der Attacke vom vergangenen Wochenende waren die Kriminellen schnell bereit, die geforderten Beträge herabzusetzen – der Generalschlüssel soll nach dem letzten Angebot wohl nur noch 50 Millionen Dollar kosten…
Man hat dabei durchaus den Eindruck, dass die Cyberkriminellen recht schnell erkannt haben, dass es nicht nur sehr viel Aufwand macht, alle ihre Opfer einzeln abzukassieren, sondern auch das Risiko, erwischt zu werden, dabei ganz deutlich ansteigt!
