Die Ransomware-Bande REvil hat Malware, die Daten verschlüsselt, über eine Sicherheitslücke in der Software Kaseya VSA an zahlreiche Kunden des Unternehmens verteilt. Die Täter fordern 70 Millionen US-Dollar für ein universelles Entschlüsselungsprogramm.

Der Angriff der Erpresserbande hat am Freitagabend, 2. Juli, gegen 20 Uhr MESZ begonnen. Die Täter haben eine 0-Day-Lücke in der VSA-Software des US-Unternehmens Kaseya ausgenutzt, um in dessen Server einzudringen und Ransomware einzuschleusen. Das Schadprogramm wurde mit VSA-eigenen Funktionen an etliche Kaseya-Kunden verteilt und weiter an deren Kunden. Die Software Kaseya VSA (Virtual Systems Administrator) wird von IT-Dienstleistern genutzt, um ihren Kunden technische Unterstützung zu leisten, etwa Fernwartung. Dieser Angriffstyp wird auch als „Supply-Chain“-Attacke bezeichnet (Supply Chain: Lieferkette). Die Täter kommen aus dem Umfeld einer als „REvil“ bekannten kriminellen Gruppe. Die REvil-Gruppe entwickelt Ransomware und bietet sie nach dem SaaS-Prinzip (Software-as-a-Service) anderen Online-Kriminellen an, sozusagen „RaaS“ (Ransomware-as-a-Service). Den Vertrieb übernehmen so genannte Affiliates auf Provisionsbasis.

▶Die neuesten Sicherheits-Updates

Der Angriffszeitpunkt ist mit Bedacht gewählt: Am 4. Juli ist der amerikanische Unabhängigkeitstag, einer der wenigen landesweiten Feiertage in den USA. Am Freitagnachmittag dürften sich viele Angestellte bereits in ein langes Wochenende verabschiedet haben, denn da der 4. Juli auf einen Sonntag fiel, war der gestrige Montag arbeitsfrei. Das Schadprogramm hatte also reichlich Zeit, sich über durchlaufende Server lawinenartig zu verbreiten und maximalen Schaden anzurichten.

Die Täter reklamieren für sich, sie hätten bei diesem Angriff mehr als eine Million Geräte infiziert. Gegen ein Lösegeld in Höhe von 70 Millionen US-Dollar in Bitcoin bieten sie an, ein universelles Entschlüsselungsprogramm zu veröffentlichen, mit dem alle betroffenen Unternehmen ihre Daten wieder entschlüsseln könnten – angeblich innerhalb einer Stunde. Betroffen sind Firmen weltweit, vor allem in den USA, aber auch in Europa. So musste die schwedische Supermarktkette COOP am Wochenende fast alle 800 Filialen schließen, weil die Kassensysteme nicht mehr funktionierten.

▶Nach Pipeline-Hack: FBI stellt Lösegeld sicher

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am Montag gemeldet, dass auch in Deutschland IT-Dienstleister und weitere Unternehmen betroffen seien. Es seien mehrere tausend Geräte verschlüsselt worden. Kritische Infrastrukturen seien nicht betroffen. Unternehmen, die Opfer dieses Angriffs geworden sind, mögen sich weiterhin beim BSI melden. Der Software-Hersteller Kaseya gibt an, es seien weniger als 60 seiner Kunden kompromittiert, alle mit Vor-Ort-Installationen („on-premises“). Von deren Kunden wiederum seien insgesamt weniger als 1500 betroffen. Kaseya hat ein Compromise Detection Tool bereitgestellt, mit dem kompromittierte Systeme identifiziert werden können.

Der Hersteller empfiehlt allen Kunden, ihre VSA-Systeme vom Netz zu nehmen und vorerst offline zu lassen. Kaseya hat ein Sicherheits-Update für VSA angekündigt, den Bereitstellungstermin jedoch immer wieder aufgeschoben. Ursprünglich sollte es am 4. Juli erscheinen, dann am 5. Juli, nach aktuellem Stand soll es im Laufe des heutigen 6. Juli so weit sein.