Kaseya-Hack: Ransom­ware-Bande könnte bis zu 1500 Firmen erpressen

6. Juli 2021, 13:21
image

Die Kriminellen wollen über das Löse­geld verhandeln. Aus der Schweiz sind noch keine Opfer des grossen Supply-Chain-Angriffs bekannt.

70 Millionen Dollar. So viel Geld wollen die Kriminellen, damit sie den Schlüssel für die im grossen Supply-Chain-Angriff auf Kaseya verschlüsselten Daten herausrücken. Mehr als eine Million Systeme sollen von der Attacke über die Fernwartungssoftware Virtual Systems Administrator (VSA) betroffen sein, behaupten die Urheber. Schweizer Opfer sind bislang nicht bekannt, wie das Nationale Zentrum für Cybersicherheit (NCSC) auf Anfrage bestätigt. Das Zentrum steht aber mit Kaseya in Kontakt und beobachtet die Entwicklung.
Die mutmasslich hinter dem Hackerangriff stehende Gruppe REvil ist offenbar bereit, ihre Lösegeldforderung neu zu verhandeln. Wie die Nachrichtenagentur 'Reuters' berichtet, gelang es zu den Hackern über deren Zahlungsportal durchzudringen und Kontakt aufzunehmen. Dies habe Jack Cable, ein auf Cybersicherheit spezialisierten Mitarbeiter der Krebs Stamos Group, erklärt. Ihm zufolge soll die Gruppe von einer möglichen neuen Lösegeldsumme von 50 Millionen Dollar gesprochen haben.
Experten gehen derzeit davon aus, dass sich die Hacker möglicherweise etwas übernommen haben, indem sie sehr viele Daten von vielen Unternehmen auf einmal verschlüsselten. "Trotz des grossen Geredes in ihrem Blog denke ich, dass die Sache aus dem Ruder gelaufen ist", sagte Allan Liska von der Cybersicherheitsfirma Recorded Future.
Tatsächlich betroffen vom Vorfall sind 800 bis 1500 Unternehmen weltweit. Dies bestätigte der Vorstandsvorsitzende von Kaseya, Fred Voccola, in einem Interview mit 'Reuters'. Er erklärte, es sei schwer, die genauen Auswirkungen des Angriffs vom vergangenen Freitag abzuschätzen. Laut dem neusten Statement der Firma sind rund 60 der direkten Kunden betroffen, hauptsächlich ICT-Dienstleister, die das Produkt On-premises installiert haben, um damit Systeme ihrer Kunden zu verwalten, deshalb sind auch die Kunden dieser Dienstleister gefährdet. So kommt man auf die bis zu 1500 bedrohten Unternehmen.

Ein Patch soll bald verfügbar sein

Man habe indes keinen Hinweis gefunden, dass SaaS-Kunden das Hauses in Mitleidenschaft gezogen worden seien, so Kaseya. Die Server für deren Services sollen voraussichtlich heute zwischen 20 Uhr und 23 Uhr (Mitteleuropäische Sommerzeit) wieder ihren Betrieb aufnehmen. Zudem gibt es weitere positive Nachrichten: Ein Patch für die ausgenutzte Lücke sei bereits entwickelt und gehe derzeit durch den Testprozess. Er soll 24 Stunden nach der Wiederinbetriebnahme der SaaS-Server zur Verfügung stehen, stellt Kaseya vorsichtig in Aussicht. Auch wurde das Detection-Tool, das mittlerweile 2000 Mal heruntergeladen wurde, verfeinert.
Die Cybersecurity & Infrastructure Security Agency (CISA) der USA und das FBI haben ihrerseits einen Leitfaden für Betroffene veröffentlicht. Dort finden sich diverse Links zu Ressourcen, um den Schaden aufzuspüren und zu mildern. Auch das Schweizer NCSC hat eine Seite aufgeschaltet, die aktualisiert werden soll, wenn sich in der Schweiz etwas tut.

Loading

Mehr zum Thema

image

Cyberkriminelle erbeuten Kundendaten der Online-Apotheke DocMorris

Bei dem Cyberangriff haben unbekannte Täter 20'000 Kundenkonten kompromittiert. Die Online-Apotheke gehört zur Schweizer "Zur Rose"-Gruppe.

publiziert am 27.1.2023
image

Schwerer Schlag gegen eine der erfolgreichsten Ransomware-Banden

Die Gruppe Hive hatte unter anderen Emil Frey und Media Markt attackiert. Jetzt haben das FBI, Europol und weitere Behörden die Hive-Infrastruktur ausgeschaltet.

publiziert am 27.1.2023
image

Angeblicher Datendiebstahl: Unispital Lausanne gibt Entwarnung

Ein Hacker behauptete, im Besitz von 2 Millionen Datensätzen des Spitals zu sein. Doch das Datenpaket stammt offenbar aus Frankreich.

publiziert am 27.1.2023
image

Zwei Wochen nach der Cyberattacke: Britische Post verschickt wieder Päckli

Eine Ransomware-Bande hatte den internationalen Versand der Royal Mail lahmgelegt.

publiziert am 27.1.2023