Berlin. Der Angriff mit einer Erpressungssoftware soll mehr als eine Million Computer verschlüsselt haben. Die Hacker fordern eine Rekordsumme.

Hunderte Unternehmen wurden am vergangenen Wochenende von Hackerinnen und Hackern mit Erpressungssoftware angegriffen - nun erwarten sich die Verantwortlichen eine Lösegeldzahlung in Rekordhöhe. Satte 70 Millionen US-Dollar in der Kryptowährung Bitcoin fordert die Gruppe REvil für einen Generalschlüssel zu den betroffenen Computern. Eigenen Angaben zufolge soll ihre Software mehr als eine Million Computer infiziert haben. Wenn das richtig ist, wäre dies die bisher größte Lösegeld-Attacke, erklärte Mikko Hyppönen von der IT-Sicherheitsfirma F-Secure am Montag.

Für den Angriff wurde eine Schwachstelle beim amerikanischen IT-Dienstleister Kaseya genutzt, um dessen Kundinnen und Kunden mit einem Programm zu attackieren, das Daten verschlüsselt und Lösegeld verlangt. Besonders heimtückisch: Kaseya-Software wurde auf den Computern als vertrauenswürdig eingestuft – so hatte auch die präparierte Version leichtes Spiel.

Das exakte Ausmaß der Schäden lässt sich von unabhängiger Seite bisher nur schwer abschätzen. Laut der IT-Sicherheitsfirma Huntress sind die Systeme von mehr als 100 Unternehmen verschlüsselt, wohingegen Kaseya von weniger als 40 Opfern sprach. Darunter waren jedoch auch Dienstleister mit eigenen Kunden, wodurch ein Domino-Effekt entstand. Kaseya mit Sitz in Miami liefert IT-Dienstleistungen an rund 40.000 Geschäftskunden in aller Welt.

Cyberattacke legte hunderte Supermärkte lahm

Die schwedische Supermarkt-Kette Coop wurde etwa von Cyber-Attacken aus verschiedenen Richtungen getroffen. Über das Wochenende konnten zeitweise nur fünf der rund 800 Läden wegen defekter Kassensysteme öffnen. Erst am Sonntag konnte das Unternehmen wieder mehrere Filialen öffnen, nachdem es gelungen war, die Zahlung über eine hauseigene App zu ermöglichen.

In Deutschland waren dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zufolge ein IT-Dienstleister und mehrere seiner Kunden betroffen. Einige tausend Computer in mehreren Unternehmen seien blockiert, sagte ein Sprecher am Sonntag. Bundeseigene Behörden oder Einrichtungen "von einer meldepflichtigen Größe" seien nach bisherigem Kenntnisstand nicht betroffen, informierte das BSI am Montag.

Die Hackergruppe REvil war laut der US-Bundespolizei FBI bereits vor wenigen Wochen für den Angriff auf den weltgrößten Fleischkonzern JBS verantwortlich. Infolge der Attacke mussten Werke in den USA für mehrere Tage schließen. Die Erpressung glückte: JBS zahlte eine Lösegeld von rund elf Millionen Dollar in Bitcoin.

Videografik: So schädlich ist Ransomware

weitere Videos

    Lösegeldforderung von 70 Millionen Dollar

    "Wenn REvil jetzt gewinnt, werden sie nicht mehr aufzuhalten sein", warnte F-Secure-Experte Hyppönen bei Twitter. Der Sitz der Hackergruppe, die auch unter dem Namen Sodinokibi bekannt ist, wird in Russland vermutet. Erpressungen mittels Ransomware sind kein neues Phänomen. Früher waren jedoch eher Einzelpersonen betroffen, die beispielsweise auf einen schädlichen Link in einer fingierten E-Mail klickten. Zuletzt wurden die Attacken aber immer koordinierter und nahmen als Ziel größere Unternehmen und Einrichtungen ins Visier.

    Britische Krankenhäuser, die Deutsche Bahn, der Nivea-Konzern Beiersdorf, Renault und die Reederei Maersk wurden 2017 alle Opfer der zwei Angriffswellen mittels der Erpressungssoftware "WannaCry" und "NotPetya".

    Damals schien sich die Schadsoftware allerdings eher unkoordiniert von Computer zu Computer auszubreiten – und nach Einschätzung einiger Experten ging es den Hackern mehr ums Stören als ums Geldverdienen. Mittlerweile steckt hinter den Attacken eine professionell organisierte Untergrund-Industrie, die zielgerichtet den maximalen Profit herausschlagen will.

    Sicherheitslücke war allgemein bekannt

    Dementsprechend finanzstark sind die Ziele der Hacker in diesem Jahr gewesen. Vor JBS wurde der Betreiber einer der wichtigsten Benzinpipelines in den USA Opfer einer Cyberattacke. Der Stopp der Pumpen sorgte zum Teil für Panikkäufe an der US-Ostküste. Die Betreiberfirma Colonial zahlte den Hackern 4,4 Millionen Dollar – gut die Hälfte davon wurde allerdings wenig später vom FBI im Netz beschlagnahmt.

    Ein dramatisches Detail im aktuellen Fall ist, dass die Schwachstelle bei Kaseya bereits von niederländischen Sicherheitsforschern entdeckt worden war – und sie zusammen mit dem Unternehmen daran arbeiteten, sie zu schließen. "Unglücklicherweise wurden wir im Schlussspurt von REvil geschlagen", schrieben die Experten in einem Blogeintrag.

    (dpa/afp/jas)