Über 1000 Firmen weltweit betroffen

Hackerangriff in den USA legt schwedische Supermärkte lahm

Uhr
von Maximilian Schenner und jor

Ein Ransomware-Angriff auf das IT-Unternehmen Kaseya betrifft über 1000 Unternehmen auf der ganzen Welt. Die schwedische Supermarkt-Kette Coop musste sämtliche Läden schliessen. Hinter dem Angriff wird die russische Gruppe REvil vermutet.

(Source: geralt / pixabay.com)
(Source: geralt / pixabay.com)

Ein Ransomware-Angriff auf den amerikanischen IT-Dienstleister Kaseya hat massive Auswirkungen auf Unternehmen weltweit. Wie unter anderem "Reuters" berichtet, hat sich der Vorfall am Freitag, den 3. Juni ereignet. Demnach verschafften sich die Angreifer Zugang zum Tool VSA von Kaseya und damit auf die Daten von Kundinnen und Kunden des Unternehmens. VSA werde vor allem von Firmen genutzt, welche die IT kleinerer Unternehmen verwalten. Damit erpressen die Angreifer nun Firmen in Nord- und Südamerika, Europa und Afrika. In einem Blogpost forderten sie Lösegeld in Höhe von 70 Millionen US-Dollar.

Schweden: 800 Supermärkte geschlossen

"Reuters" zufolge sind mehrere hundert Firmen weltweit vom Angriff betroffen, die "NZZ" schreibt von mehr als 1000. Dazu sollen unter anderem Schulen, kleinere Behörden, Reiseunternehmen und Banken zählen. In Bezug auf die Zahl der Opfer könnte es sich erst um "die Spitze des Eisbergs" handeln, zitiert "Reuters" einen Vertreter der Sicherheitsfirma CrowdStrike.

Besonders stark scheint es Coop getroffen zu haben - nicht den Schweizer Einzelhändler, sondern eine schwedische Supermarktkette. Ausgefallene Kassensysteme hätten diese gemäss "Reuters" gezwungen, alle rund 800 Filialen in Schweden zu schliessen. Jene Firma. die auch die Systeme der Supermarktkette verwaltet, nutze die Technologie von Kesaya.

Beim Nationalen Zentrum für Cybersicherheit (NCSC) sind bislang keine Meldungen über Angriffe auf Schweizer Firmen eingegangen, wie "Der Bund" berichtet. Die Schweizer Behörden stünden im Kontakt mit dem gehackten Unternehmen Kaseya.

Ransomware-Gruppe "REvil" unter Verdacht

Mehrere Quellen vermuten die - vermeintlich russische - Ransomware-Gruppe REvil hinter den Angriffen. Die Lösegeldforderungen seien auf einem Darkweb-Blog gepostet worden, der von der Bande typischerweise verwendet wird. REvil, auch bekannt als "Sodinokibi", zählt laut "Reuters" zu den erfolgreichsten Ransomware-Banden weltweit. Das FBI schreibt der Gruppe unter anderem die Ransomware-Attacke auf den Fleischkonzern JBS im Juni 2021 zu. Der Angriff hatte dazu geführt, dass fünf der grössten US-amerikanischen Fleischfabriken zeitweise stillgelegt werden mussten. JBS bezahlte 11 Millionen US-Dollar Lösegeld. Mehr Details zum Angriff lesen Sie hier.

Parallelen zum "Solarwinds-Hack"

Das slowakische IT-Sicherheitsunternehmen Eset schreibt ebenfalls, dass für den Angriff Ransomware von Sodinokibi zum Einsatz gekommen sei. Weiter zieht Eset Parallelen zum Cyberangriff auf die US-Softwarefirma Solarwinds Ende 2020. In beiden Vorfällen sei die Malware in zwei Schritten durch eine Hintertür in der Tech-Infrastruktur eingeschleust worden. Im Gegensatz zum "Solarwinds-Hack" ging es den Angreifenden laut Eset hierbei jedoch nicht um Spionage, sondern schlichtweg um Lösegeld. Die US-Regierung hatte die Verantwortung für den Solarwinds-Hack dem russischen Auslandgeheimdienst zugeschrieben – und Sanktionen gegen den Kreml verhängt. Unter anderem wies das Weisse Haus zehn russische Diplomaten aus, wie Sie hier lesen können.

US-Präsident Joe Biden schliesst gemäss "Reuters" nicht aus, dass Russland auch hinter dem aktuellen Angriff stecke, und ordnete diesbezüglich eine Untersuchung an. Erst am 16. Juni hatte Biden mit seinem russischen Amtskollegen Wladimir Putin über Gegenseitige Vorwürfe von Cyberattacken gesprochen. Im Rahmen des diplomatischen Gipfeltreffens, das in Genf stattfand, hatte Biden seinem Gegenüber Konsequenzen für etwaige Cyberattacken auf amerikanische Systeme angekündigt. Hält der US-Präsident sein Wort, könnte dies wohl auch für den Angriff auf Kaseya gelten.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_222175