Attacke von Hackern 06.07.2021, 11:38 Uhr

Cyberattacke auf Kaseya: Diese perfide Masche nutzen die Hacker

Ein groß angelegter Cyberangriff auf eine IT-Firma in den USA zieht Kreise bis nach Europa. Tausende Computer sind in Deutschland infiziert. Unternehmen sollen Lösegeld in Bitcoin zahlen, um an ihre verschlüsselten Daten zu kommen.

Bildschirm ransomware Mann vor gehacktem Computer

Ransomware-Angriffe nehmen zu: Hackergruppen fordern oftmals Lösegeld in Bitcoin.

Foto: panthermedia.net/AndreyPopov

Eine neue Cyberattacke mit Erpressungssoftware hat Hunderte Unternehmen und Tausende Computer in den USA sowie Europa getroffen. Der Hackerangriff hat auch Auswirkungen auf Deutschland.

Am Wochenende hat eine Hackergruppe zahlreiche Unternehmen mit einer Erpressungssoftware angegriffen. 70 Millionen US-Dollar verlangen die Erpresser für einen Generalschlüssel zu allen gehackten Computern. Die Lösegeldsumme wird in der Digitalwährung Bitcoin gefordert, so die IT-Sicherheitsfirma Sophos in einem Blogbeitrag. Hinter der Cyberattacke soll die Hackergruppe REvil stecken. Vor einigen Monaten erpresste die russischsprachige Gruppe den weltgrößten Fleischverarbeiter JBS um elf Millionen Dollar. REvil verschlüsselt auf den Computern Daten und verlangt daraufhin Lösegeld – in der Regel in einer Kryptowährung. Hier spricht man von einer sogenannten „Supply Chain Attack“. Statt einzelner Firmen wird die Software eines Dienstleisters oder Unternehmens angegriffen. Auf diese Weise treffen die Hacker viel mehr Rechner.

Cyberangriff betrifft auch Europa

Nicht nur in den USA zieht der Cyberangriff Kreise – in Schweden musste die Supermarktkette Coop ihre Läden schließen. US-Sicherheitsbehörden sprachen von 200 betroffenen US-Unternehmen. Infektionen wurden in zwölf Ländern festgestellt. Wie konnte es genau dazu kommen?

Die Hackergruppe nutzte am Wochenende eine Schwachstelle beim amerikanischen IT-Dienstleister Kaseya. Kunden von Kaseya wurden mit einem Programm attackiert, das Daten verschlüsselt und umgehend Lösegeld fordert. Insgesamt sollen über eine Million Computer infiziert sein. Die Virtual System Administrator-Software (VSA) des IT-Dienstleisters wird von Unternehmen genutzt, um Updates auf Firmencomputer zu spielen.

Stellenangebote im Bereich IT/TK-Projektmanagement

IT/TK-Projektmanagement Jobs
CS CLEAN SOLUTIONS GmbH-Firmenlogo
Mitarbeiter für die Steuerungstechnik Software (m/w/d) CS CLEAN SOLUTIONS GmbH
Ismaning bei München Zum Job 
RHEINMETALL AG-Firmenlogo
Verstärkung für unsere technischen Projekte im Bereich Engineering und IT (m/w/d) RHEINMETALL AG
deutschlandweit Zum Job 
FlowChief GmbH-Firmenlogo
Techniker:in Automatisierung (SCADA) (m/w/d) FlowChief GmbH
Wendelstein Zum Job 
Wirtgen GmbH-Firmenlogo
Software-Ingenieur (m/w/d) Elektrotechnik im Bereich Steuerungssoftware für mobile Arbeitsmaschinen Wirtgen GmbH
Windhagen Zum Job 
Hochschule Osnabrück-Firmenlogo
Tandem-Professur Robotik, Data Science and AI, Digitalisierte Wertschöpfungsprozesse Hochschule Osnabrück
Osnabrück, Lingen Zum Job 
Hochschule für Technik und Wirtschaft Berlin-Firmenlogo
Professur (W2) | auf Lebenszeit Fachgebiet Rechnerarchitekturen und Rechnersysteme Hochschule für Technik und Wirtschaft Berlin
Energie und Wasser Potsdam GmbH-Firmenlogo
Geoinformatiker (m/w/d) / Vermessungsingenieur (m/w/d) als Projektleiter (m/w/d) GIS - Fachanwendungen Energie und Wasser Potsdam GmbH
Potsdam Zum Job 
Frankfurt University of Applied Sciences-Firmenlogo
Professur "Software Engineering - Moderne Verfahren" (w/m/d) Frankfurt University of Applied Sciences
Frankfurt am Main Zum Job 
Niedersächsische Landesbehörde für Straßenbau und Verkehr-Firmenlogo
BIM-Manager (m/w/d) für Bauprojekte Niedersächsische Landesbehörde für Straßenbau und Verkehr
Hannover Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Fachingenieur (w/m/d) BIM Die Autobahn GmbH des Bundes
Technische Hochschule Deggendorf-Firmenlogo
Forschungsprofessur oder Nachwuchsprofessur (m/w/d) Industrielle Robotik Technische Hochschule Deggendorf
Fresenius Kabi Deutschland GmbH-Firmenlogo
Projekt IT-Ingenieur (m/w/d) Fresenius Kabi Deutschland GmbH
Friedberg Zum Job 
Mercer Stendal GmbH-Firmenlogo
Betriebstechniker (m/w/d) Prozessleittechnik Mercer Stendal GmbH
Arneburg Zum Job 
Wirtgen GmbH-Firmenlogo
Project Manager Product Lifecycle Management (m/w/d) Wirtgen GmbH
Windhagen Zum Job 
Hochschule Osnabrück-Firmenlogo
Wissenschaftl. Mitarbeiter*in in der Talentakademie "Smart Factory & Products" Hochschule Osnabrück
Osnabrück Zum Job 
NORDEX GROUP-Firmenlogo
SCADA Projektingenieur (m/w/d) NORDEX GROUP
Hamburg, Rostock Zum Job 
Westfälische Hochschule-Firmenlogo
Professur Künstliche Intelligenz und Industrielle Automation (W2) Westfälische Hochschule
Gelsenkirchen Zum Job 
Hochschule für Technik und Wirtschaft Berlin-Firmenlogo
Professor (W2) | Permanent Computer Architecture and Computer Systems Hochschule für Technik und Wirtschaft Berlin
Frankfurt University of Applied Sciences-Firmenlogo
Professur "Vernetzte Eingebettete Systeme" (w/m/d) Frankfurt University of Applied Sciences
Frankfurt am Main Zum Job 

Den Hackern gelang eine Art Domino-Effekt. Die betroffenen Kunden von Kaseya haben ebenfalls Kunden, die von der Attacke betroffen sind. So reicht der Cyberangriff bis nach Deutschland. Laut einer Analyse von Kaspersky trafen 3,2 Prozent der REvil-Angriffsversuche Deutschland. Kaspersky-Forscher haben bereits über 5.000 Infektionsversuche in Europa, Nord- und Südamerika beobachtet.

Bitcoin: Kurs bricht erneut ein – gehört Krypto noch die Zukunft?

IT-Dienstleister in Deutschland betroffen

Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sei zunächst ein IT-Dienstleister und mehrere seiner Kunden betroffen. Einige tausend Computer sollen bei mehreren Unternehmen infiziert sein. Bei diesem Cyberangriff handelt es ich um Ransomware-Hacker.

„Ein IT-Dienstleister hat sich gemeldet, weil er betroffen ist“, sagte ein BSI-Sprecher.

Weitere betroffene Firmen haben Angriffe nachgemeldet, da sie ebenfalls gehackt wurden.

Das US-Ministerium für Heimatschutz und das FBI rieten allen Kaseya-Kunden, ihre VSA-Server zu schließen.

In Schweden wurden neben der Supermarktkette Coop auch die staatliche Bahngesellschaft SJ, die Tankstellenkette ST1 und der Apothekenbetreiber Apotek Hjärtat gehackt.

Die meisten Angriffsversuche waren in den folgenden fünf Ländern zu verzeichnen:

  • Italien (45,2 Prozent)
  • die USA (25,9 Prozent)
  • Kolumbien (14,8 Prozent)
  • Deutschland (3,2 Prozent)
  • und Mexiko (2,2 Prozent).

Ransomware: So werden Sie Erpressungstrojaner wieder los

Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder zur Attacke:

„Mit der jüngsten Attacke auf das IT-Unternehmen Kaseya wird eine besonders perfide Masche genutzt, um Unternehmen in aller Breite zu attackieren. Viele Unternehmen lassen sich von externen IT-Dienstleistern unterstützen. Wird aber die beim Dienstleister eingesetzte Software infiltriert, kann der Angriff quasi beliebig skaliert werden. Die Cyberkriminellen machen sich die Hebelwirkung über den IT-Dienstleister zu Nutze, indem sie die Zielsysteme der Endkundinnen und -kunden verschlüsseln und horrende Lösegelder erpressen. Wird ein solcher Angriff erfolgreich geführt, fallen die Kundinnen und Kunden reihenweise um. (…).“

Durch Datendiebstahl oder Spionage ist der deutschen Wirtschaft 2019 ein Gesamtschaden von über 100 Milliarden Euro entstanden. Viele Unternehmen sind durch die Pandemie und den Umzug ins Homeoffice anfälliger für Internetkriminalität geworden. 2020 rechnet Bitkom mit einer deutlich höheren Schadensumme.

Podcast-Tipp: Kryptowährungen auf dem Vormarsch

Dass der Kryptomarkt immer noch mit kriminellen Transfers verbunden wird, liegt unter anderem an Hackerangriffen, die Lösegeld in Bitcoin fordern. Im Podcast „Technik aufs Ohr“ spricht Investor Jascha Samadi über die Entwicklungen und beleuchtet nicht nur die Vorteile von Bitcoin und Co., sondern auch die Schattenseiten. Jetzt reinhören:

Hier wird Ihnen ein externer Inhalt von Podigee angezeigt.
Mit der Nutzung des Inhalts stimmen Sie der Datenschutzerklärung von youtube.com zu.

Was versteht man unter Ransomware?

Das Wort „ransom“ kommt aus dem Englischen und bedeutet übersetzt „Lösegeld“. Bei Ransomware-Hacks geht es stets um Forderungen von Lösegeld. In der Regel wird die Summe in Bitcoin gefordert, da die Digitalwährung anonym transferiert wird. Bei Ransomware spricht man auch von Erpressersoftware. Ransomware schleicht sich in das Computersystem und sperrt den PC für den User. Schadprogramme sperren den Computer oder verschlüsseln empfindliche Daten. Um wieder an das System zu gelangen, fordern die Hacker Lösegeld.

Verbessert IT-Wissen das Ingenieurgehalt?

Mark Loman, Director of Engineering bei Sophos, ordnet die aktuellen REvil-Ransomwareattacke über Kaseya ein:

„Sophos hat seit Bekanntwerden der neuesten Attacke mit der Ransomware REvil zahlreiche Untersuchungen vorgenommen und den Angriff in die Rubrik ‚Supply Chain Distribution‘ eingeordnet. Die Kriminellen nutzen Managed Service Provider (MSP) als ‚Vertriebsplattform‘, um so viele Unternehmen wie möglich zu treffen, unabhängig von Größe oder Branche. Wir sehen hier ein wiederkehrendes Muster, da Angreifer ihre Methoden ständig mit der Maxime anpassen, eine größtmögliche Wirkung zu erzielen, sei es in finanzieller Hinsicht oder zum Stehlen von Anmeldedaten und anderen proprietären Informationen, die sie später nutzen könnten.“

Laut Loman war im aktuellen Fall schnell klar, dass ein Partner von REvil Ransomware-as-a-Service (RaaS) einen Zero-Day-Exploit nutzte, um die Ransomware über die Virtual Systems Administrator (VSA)-Software von Kaseya zu verteilen. „Normalerweise bietet diese Software einen äußerst vertrauenswürdigen Kommunikationskanal, der MSPs unbegrenzten privilegierten Zugriff ermöglicht, um vielen Unternehmen bei ihren IT-Umgebungen zu helfen. Genau diese Plattform wurde nun als Verteiler für die Ransomware umfunktioniert“, so der Director of Engineering bei Sophos.

„Einige erfolgreiche Ransomware-Gruppierungen haben in letzter Zeit Lösegeld in Millionenhöhe erbeutet, wodurch sie möglicherweise sehr wertvolle Zero-Day-Exploits erwerben können. Bestimmte Exploits sind bislang normalerweise nur auf Nationalstaaten-Ebene realisierbar gewesen, die diese Tools normalerweise ganz gezielt für einen bestimmten, isolierten Angriff einsetzen. In den Händen von Cyberkriminellen kann ein solcher ‚Premium-Exploit‘ für eine Schwachstelle in einer globalen Plattform viele Unternehmen gleichzeitig treffen und Auswirkungen auf unser tägliches Leben haben“, erklärt Mark Loman weiter.

US-Präsident Joe Biden lässt den Cyberangriff durch die Geheimdienste untersuchen. Biden hatte den russischen Präsidenten Wladimir Putin bei deren Treffen in Genf im Juni aufgefordert, die Aktivitäten von Hackergruppen nicht zu tolerieren. Konsequenzen bei weiteren Cyberattacken wurden angedroht.

Der deutsche Industrieverband BDI plant Cyberangriffe mit einer „nationalen Wirtschaftsschutzstrategie“ von Politik und Wirtschaft besser abzuwehren. Kaseya sei währenddessen zuversichtlich, die Schwachstelle gefunden zu haben. Die Systeme werden nach einem Sicherheitstest wieder hochgefahren werden.

Kaspersky gibt Schutztipps

Das Antivirenprogramm Kaspersky hat anlässlich des groß angelegten Hackerangriffs Schutztipps veröffentlicht.

  1. Eine zuverlässige Endpoint-Sicherheitslösung verwenden, die auf Exploit-Prävention, Verhaltenserkennung und einer Remediation Engine basiert und somit schädliche Aktionen rückgängig machen kann.
  2. Remote-Desktop-Dienste nicht in öffentlichen Netzwerken freigeben. Sollte es nicht anders gehen, starke Passwörter verwenden.
  3. Verfügbare Patches für kommerzielle VPN-Lösungen installieren, die Remote-Mitarbeitern Zugriff bieten.
  4. Software auf allen verwendeten Geräten immer auf dem neuesten Stand halten, um zu verhindern, dass Ransomware Sicherheitslücken ausnutzt.
  5. Vor allem auf den ausgehenden Datenverkehr achten, um Verbindungen von Cyberkriminellen zu erkennen.
  6. Daten regelmäßig durch Backups sichern.
  7. Eine Lösung verwenden, die dabei hilft, Angriffe im Frühstadium zu erkennen und zu blockieren.
  8. Mitarbeitende regelmäßig in Cybersicherheit schulen.

Lesen Sie auch:

Achtung vor Cyberangriffen: Wie Sie Prozessabläufe sicher gestalten

Was Sie für die Cybersicherheit beachten müssen

IT-Experten warnen eindringlich: Warum Sie das Auto-Update immer ausführen müssen

Ein Beitrag von:

  • Sarah Janczura

    Sarah Janczura

    Sarah Janczura schreibt zu den Themen Technik, Forschung und Karriere. Nach einem Volontariat mit dem Schwerpunkt Social Media war sie als Online-Redakteurin in einer Digitalagentur unterwegs. Aktuell arbeitet sie als Referentin für Presse und Kommunikation beim VDI e.V.

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.