Erst kürzlich machte ein spektakulärer Fall internationale Schlagzeilen, als die Hackergruppe REvil mit einer raffinierten Schadsoftware IT-Geräte von tausenden Unternehmen verschlüsselten und 70 Millionen US-Dollar in Bitcoin zu erbeuten. Was war geschehen?
Eine Million Geräte infiziert
Es wird vermutet, dass die Hackergruppe REvil (R steht für Ransomware also Schadsoftware und evil englisch für böse) aus Russland aus operiert. Die Gruppe startete einen Angriff auf den Software-Hersteller Kaseya und konnten erfolgreich in das Firmennetzwerk eindringen. Wie sie das genau geschafft haben, ist bislang unklar. Kaseya hat nach Unternehmensangaben mehr als 40.000 Kunden, von denen mutmaßlich 50 bis 60 Kunden von der Attacke betroffen sind. Viele davon sind allerdings selber IT-Dienstleister, die sich mit dem Schutz von Netzwerken kleinerer Firmen befassen, welche keine eigenen IT-Abteilungen haben. Letztlich gelangten die Hacker so an sensible Unternehmensdaten von nachweislich mehr als 1.000 Unternehmen, REvil gab bekannt, dass sie insgesamt mehr als eine Millionen Geräte mit der Schadsoftware infiziert hätten.
Datenfreigabe nur bei Lösegeldzahlung
Im sogenannten Darknet, dem Teil des Internets, der es Betrügern und Kriminellen leicht macht, illegale Aktivitäten durchzuführen betrieb die Hackergruppe Seiten, auf denen betroffene Unternehmen das geforderte Lösegeld bezahlen konnten. Vor gut 3 Wochen, am 13. Juli, verschwanden die Seiten dann plötzlich und wurden offline genommen. Bis heute gibt es keine gesicherten Erkenntnisse, warum das geschah. Für die betroffenen Unternehmen ist das ein großes Problem, denn sie haben nun keinerlei Möglichkeiten, die gestohlenen Daten wiederzuerlangen.
Sogar US-Präsident schaltet sich ein
Die Fahndungen nach den Tätern laufen auf Hochtouren, es gibt aber wenig Ansatzpunkte für konkrete Ermittlungen. Sogar das Weiße Haus schaltete sich ein, US-Präsident Biden sprach mit dem russischen Präsidenten Putin über russische Hackerangriffe und machte ihm nach Aussagen von US-Medien deutlich, dass die USA mehr Gegenmaßnahmen von Russland erwarten. Ob Putin tatsächlich dafür gesorgt hat, dass die Seiten aus dem Darknet verschwunden sind bleibt reine Spekulation.
Genau wie die Frage, ob die Hackergruppe überhaupt aus Russland aus agiert. Fest steht nur, dass die Gruppe für ihre Revil-Ransomware so programmiert hat, dass russische Rechner und Endgeräte nicht infiziert werden können. Es wäre aber auch gut möglich, dass es sich dabei um ein bewusstes Ablenkungsmanöver handelte. Ob die betroffenen Unternehmen ihre Daten zurückbekommen und ob die Datenräuber gefasst werden, bleibt abzuwarten.
Bedrohungen werden größer
Die zunehmende Vernetzung und der Einsatz von immer mehr digitalen Anwendungen sorgt dafür, dass Kriminelle vielfältige Einfallstore zu IT-Systemen haben. Darüber hinaus entwickeln sie immer neue Techniken, um die Sicherheitssysteme zu umgehen und sind dabei nicht nur kriminell, sondern auch höchst kreativ. Unternehmen sollten daher jederzeit mit einem Angriff rechnen und vor allem eine gute Backup-Infrastruktur aufbauen, um im Falle des Falles Kopien von sämtlichen Unternehmensdaten zu haben. Die eBakery befasst sich demnächst exklusiv auf dem Firmenblog mit diesen und anderen Betrugsmaschen und Cyberangriffen im Internet. Aktuelle News findet man unter: https://ebakery.de/news/