70 Millionen Dollar. So viel Geld wollen die Kriminellen, damit sie den Schlüssel für die im grossen Supply-Chain-Angriff auf Kaseya verschlüsselten Daten herausrücken. Mehr als eine Million Systeme sollen von der Attacke über die Fernwartungssoftware Virtual Systems Administrator (VSA) betroffen sein, behaupten die Urheber. Schweizer Opfer sind bislang nicht bekannt, wie das Nationale Zentrum für Cybersicherheit (NCSC) auf Anfrage bestätigt. Das Zentrum steht aber mit Kaseya in Kontakt und beobachtet die Entwicklung.

Die mutmasslich hinter dem Hackerangriff stehende Gruppe REvil ist offenbar bereit, ihre Lösegeldforderung neu zu verhandeln. Wie die Nachrichtenagentur 'Reuters' berichtet, gelang es zu den Hackern über deren Zahlungsportal durchzudringen und Kontakt aufzunehmen. Dies habe Jack Cable, ein auf Cybersicherheit spezialisierten Mitarbeiter der Krebs Stamos Group, erklärt. Ihm zufolge soll die Gruppe von einer möglichen neuen Lösegeldsumme von 50 Millionen Dollar gesprochen haben.

Experten gehen derzeit davon aus, dass sich die Hacker möglicherweise etwas übernommen haben, indem sie sehr viele Daten von vielen Unternehmen auf einmal verschlüsselten. "Trotz des grossen Geredes in ihrem Blog denke ich, dass die Sache aus dem Ruder gelaufen ist", sagte Allan Liska von der Cybersicherheitsfirma Recorded Future.

Tatsächlich betroffen vom Vorfall sind 800 bis 1500 Unternehmen weltweit. Dies bestätigte der Vorstandsvorsitzende von Kaseya, Fred Voccola, in einem Interview mit 'Reuters'. Er erklärte, es sei schwer, die genauen Auswirkungen des Angriffs vom vergangenen Freitag abzuschätzen. Laut dem neusten Statement der Firma sind rund 60 der direkten Kunden betroffen, hauptsächlich ICT-Dienstleister, die das Produkt On-premises installiert haben, um damit Systeme ihrer Kunden zu verwalten, deshalb sind auch die Kunden dieser Dienstleister gefährdet. So kommt man auf die bis zu 1500 bedrohten Unternehmen.

Man habe indes keinen Hinweis gefunden, dass SaaS-Kunden das Hauses in Mitleidenschaft gezogen worden seien, so Kaseya. Die Server für deren Services sollen voraussichtlich heute zwischen 20 Uhr und 23 Uhr (Mitteleuropäische Sommerzeit) wieder ihren Betrieb aufnehmen. Zudem gibt es weitere positive Nachrichten: Ein Patch für die ausgenutzte Lücke sei bereits entwickelt und gehe derzeit durch den Testprozess. Er soll 24 Stunden nach der Wiederinbetriebnahme der SaaS-Server zur Verfügung stehen, stellt Kaseya vorsichtig in Aussicht. Auch wurde das Detection-Tool, das mittlerweile 2000 Mal heruntergeladen wurde, verfeinert.

Die Cybersecurity & Infrastructure Security Agency (CISA) der USA und das FBI haben ihrerseits einen Leitfaden für Betroffene veröffentlicht. Dort finden sich diverse Links zu Ressourcen, um den Schaden aufzuspüren und zu mildern. Auch das Schweizer NCSC hat eine Seite aufgeschaltet, die aktualisiert werden soll, wenn sich in der Schweiz etwas tut.