Am Freitag hat die Hackergruppe REvil wieder zugeschlagen. Ein sogenannter Zero-Day-Exploit, also die Nutzung einer Schwachstelle in einer Software am selben Tag, an dem diese Schwachstelle bekannt wird, führte zur Stilllegung Tausender Rechner. Das Ziel des Angriffs war das IT-Unternehmen Kaseya, das über eine Software namens VSA die Server anderer Firmen wartet und dabei unter anderem Updates aufspielt. Über diese Software wurde ein Erpressungsprogramm auf die Server der Kunden geladen, das deren Daten verschlüsselte und damit unzugänglich machte. In der Folge musste z. B. die schwedische Supermarktkette Coop, die wie die meisten in Schweden nur noch digitale Bezahlung kennt, ihren Betrieb vorerst schließen. Auch in der Bundesrepublik ist laut Angaben des Bundesamts für Sicherheit in der Informationstechnik ein IT-Dienstleister mit mehreren Tausend Kunden betroffen.
Der Vorstandsvorsitzende von Kaseya erklärte, es seien von den insgesamt 37.000 Kunden seiner Firma nur 50 bis 60 von dem Angriff betroffen. Allerdings seien 70 Prozent davon Provider, an denen wieder viele andere Firmen hingen. Das Wochenende um den Nationalfeiertag der USA am 4. Juli stellte sicher, dass viele Betroffene den Schaden erst am Montag bemerkten.
Heute ging nun die Lösegeldforderung von REvil ein. Sie lag anfänglich bei 70 Millionen US-Dollar in den Digitalwährungen Monero oder Bitcoin, wurde inzwischen aber auf 50 Millionen heruntergesetzt, was immer noch das höchste je gezahlte Lösegeld für "gekidnappte" Daten wäre.
REvil ist nicht neu im Geschäft, der Gruppe wurde schon der Trojaner GandCrab zugeschrieben, der ebenfalls zum Typ Ransomware gehörte und nach eigenen Angaben seinen Verbreitern von Anfang 2018 bis Mitte 2019 2,5 Millionen Dollar Wocheneinkommen beschert haben soll. Das FBI schreibt dieser Gruppe außerdem die Cyberattacke auf das Fleischereiunternehmen JBS zu, das sich erst vor wenigen Wochen mit elf Millionen Dollar freigekauft hatte.
Die Hacker von REvil werden zwar meist in Russland vermutet. Ein Interview von The Record vom März mit einem vermeintlichen Mitglied von REvil scheint das zu bestätigen; es bleibt aber die Frage, ob die persönlichen Informationen zutreffen oder ein Täuschungsmanöver sind. Schließlich enthält das Interview einen sehr einleuchtenden Grund, warum keine Angriffe durch REvil in Russland bekannt sind – in den GUS-Staaten wird kein Lösegeld gezahlt.
Ein Ransomware-Angriff geht üblicherweise davon aus, dass das angegriffene Unternehmen versichert ist und die Versicherung eine Zahlung für die günstigste Lösung hält. Die Täter müssen also zuerst wirtschaftliche Details über das Opfer herausfinden und die Höhe seiner Versicherung in Erfahrung bringen. Die Lösegeldforderung wird nach diesen Informationen kalkuliert.
Diese Rechnung könnte aber bald nicht mehr aufgehen. Die AXA-Versicherungen haben schon im Mai beschlossen, in neuen Policen die Zahlung von Lösegeld auszuschließen. Durch die Zunahme an Ransomware-Angriffen liegt die Auszahlungsrate mittlerweile bei über 70 Prozent, was für die Versicherer ein Verlustgeschäft ist. So kommentierte es der Cheftechniker einer Cybersicherheitsfirma gegenüber AP: "Die Ransomware-Gruppen wurden zu schnell zu gierig. Dadurch gibt es die Kosten-Nutzen-Rechnung, die die Versicherer vornahmen, um zu entscheiden, ob sie ein Lösegeld zahlen sollen oder nicht, einfach nicht mehr."
In den USA und in Kanada sind in den vergangenen Monaten die Prämien für Cyberversicherungen deutlich gestiegen: im Januar um 29 Prozent, im Februar um 32, im März gar um 39 Prozent. Das ist ein Anzeichen dafür, dass die Ransomware-Branche sich gerade selbst die Geschäftsgrundlage entzieht.
Inzwischen bietet Kaseya einen Link auf eine Software zur Erkennung eines Angriffs und wird im Laufe des Tages die Sicherheitslücke bei den nicht betroffenen Kunden per Update schließen.
Mehr zum Thema - Witwe von John McAfee: John war nicht selbstmordgefährdet – US-Regierung ist verantwortlich