Die bisher größte Ransomware-Welle legt 800 Supermärkte in Schweden lahm – BitcoinBl …


Coop-Supermarkt in Degeberga, Schweden. Bild von News Öresund über flickr.com. Lizenz: Creative Commons

Ransomware infiziert Software eines Entwicklers in Florida. Da die Software von so vielen Unternehmen genutzt wird, verbreitet sich die Malware weltweit und erreicht bis zu einer Million Unternehmen. 800 Supermärkte in Schweden gehören zu den Opfern des bisher größten bekannten „Supply-Chain-Angriffs“. Wird Ransomware zum „Cyber-Terrorismus“ – und droht damit ein Bitcoin-Verbot?

In Schweden greift die bisher größte Ransomware-Pandemie auch Basisdienste an. Die Supermarktkette Coop, vielerorts einziger Lebensmittellieferant, musste ihre 800 Filialen im Land schließen. Coop selbst war davon nicht betroffen, sondern nur ein für die Kassensysteme zuständiger Subunternehmer. Gleichzeitig melden die Staatsbahnen und einige Apotheken Störungen. Das Ausmaß des Angriffs geht so weit, dass sogar Verteidigungsminister Peter Hultqvist dazu Stellung nimmt: In einer anderen geoplitischen Situation könnten staatliche Akteure mit einem solchen Angriff die Gesellschaft lähmen und verheerenden Schaden anrichten. Tatsächlich offenbart der Angriff vor allem die Verletzlichkeit der vernetzten westlichen Gesellschaften. Es ist der bislang weitreichendste „Supply-Chain-Angriff“.

Bereits am 2. Juli berichtete Reuters, dass ein „ungewöhnlich ausgeklügelter“ Ransomware-Angriff die Software von Kaseya, einem Entwickler aus Miami, Florida, verursacht habe. Die Angreifer tauschten ein Tool von Kasey namens VSA aus, das von vielen Unternehmen genutzt wird.

Nach Bekanntwerden der Infektion beauftragte Kaseya die Sicherheitsfirma Huntress mit der Analyse. Es stellte sich heraus, dass die Ransomware bereits 200 Unternehmen über acht Dienstanbieter erreicht hatte, die das Tool von Kaseya nutzten. In diesen Fällen verschlüsselte die Ransomware Daten; Um die notwendigen Schlüssel zur Wiederherstellung der Daten zu erhalten, müssen die Unternehmen ein Lösegeld in Bitcoin oder Monero zahlen.

Es handelt sich um einen "kolossalen und verheerenden Angriff auf die Lieferkette", erklärte ein Sicherheitsanalyst von Huntress. Da die Software von Kaseya so weit verbreitet ist, von großen Konzernen bis hin zu kleinen Unternehmen, hat der Angriff das Potenzial, eine enorme Reichweite zu erreichen.

Über das Wochenende wurde das Ausmaß der Angriffswelle erst aufgedeckt. REvil, eine Gruppe von Hackern aus vermutlich Russland, bekannte sich zu dem Angriff. Sie gab auf ihrer Website im Darknet an, dass bis zu eine Million Unternehmen betroffen seien.

REvil hatte zunächst pro Unternehmen bis zu fünf Millionen Dollar Lösegeld gefordert, bietet nun aber an, alle Schlüssel für 70 Millionen Dollar auszuhändigen. Außerdem wissen die genannten Firmen in Schweden inzwischen, dass auch einige Softwareanbieter aus Deutschland und Schweden betroffen sind, durch die nach Angaben eines nicht genannten deutschen Anbieters Tausende ihrer Kunden gefährdet oder sogar betroffen sind. Auch Schulen in Neuseeland wurden getroffen.

Ein britischer Cybersicherheitsberater erklärte, dass ein Angriff mit dieser Raffinesse und Reichweite selten, wenn nicht beispiellos wäre. "Es ist eine wirklich ernste, globale Operation."

Zahlreiche Medien stellten den praktisch ungünstigen Zeitpunkt der Angriffswelle fest. Ransomware ist derzeit aufgrund eines nationalen Sicherheitsproblems weit verbreitet. Im Mai unterbrach ein Angriff den Betrieb der Colonial Pipeline, die etwa 45 Prozent des an der Ostküste der Vereinigten Staaten verbrauchten Gases transportiert. Die Betreiber zahlten ein Lösegeld von 4,4 Millionen Dollar, das das FBI später ganz oder teilweise aus einem Börsen-Wallet einziehen konnte.

Aber der Vorfall unterstrich, wie verwundbar Kerninfrastrukturen sein können und wie sehr Kryptowährungen und Ransomware Hackern einen Anreiz dazu geben

Der Angriff auf die Colonial Pipeline war wahrscheinlich der Grund, Ransomware zu einem geopolitischen Thema zu machen. Denn in Sicherheitskreisen gibt es schon lange den Verdacht dass viele der Hacker hinter Ransomware – wie REvil – in Russland zu Hause sind vom russischen Staat geduldet werden, solange sie russische Ziele nicht angreifen und sogar von Geheimdiensten für Auftragsarbeiten angeheuert.

Vor etwa einem Monat erklärte US-Präsident Joe Biden Ransomware zu einer "dringenden nationalen Bedrohung". In einem Gespräch mit seinem russischen Amtskollegen Wladimir Putin propagierte er, dass Russland für Hackergruppen wie REvil kein sicherer Hafen mehr sei. Zumindest bestimmte kritische Infrastrukturen sollten tabuisiert werden, wie Energieversorgung, Gesundheitsversorgung, Ernährung, Abfallverarbeitung, Verkehr und andere.

Anscheinend kann oder will die russische Regierung aber nicht verhindern, dass die Hacker im Land in westlichen Ländern Schaden anrichten – und natürlich gibt es nicht nur in Russland, sondern auf der ganzen Welt Hacker, die Ransomware einsetzen. Daher hat das Gespräch zwischen Biden und Putin nichts dazu beigetragen, die Pandemie der erpresserischen Viren zu stoppen.

Ende Mai wurde etwa die schwedische Gesundheitsbehörde (Folkhälsomyndigheten ) getroffen. SmiNet, die nationale Datenbank für Infektionskrankheiten, wurde durch Ransomware lahmgelegt. Etwa eine halbe Woche lang gab es demnach keine Statistik zu Corona-Neuinfektionen in Schweden.

Die Ransomware dahinter, Conti scheint sich auf den Gesundheitssektor spezialisiert zu haben: Erst kurz zuvor hat sie Irish Health Service Executive eine wichtige Organisation im irischen Gesundheitssystem erwischt; Conti hat nach Angaben des FBI mehr als ein Dutzend Gesundheitsdienstleister in den USA infiziert. Genau wie REvil behauptet Conti, dass die Hacker von Russland aus operieren.

Anfang Juni wurde JBS getroffen, was Tierschützer mit einer gewissen Freude feststellten, da JBS der weltweit größte "Hersteller" von Tierprodukten Leichenprodukte oder Fleisch ist. Als Folge des Angriffs musste JBS den Betrieb in allen Produktionsstätten vorübergehend einstellen, was das Leben von Zehntausenden Tieren um einige Tage verlängert haben dürfte. Das Unternehmen zahlte daraufhin das Lösegeld von 11 Millionen Dollar, um die üblichen Blutbäder fortzusetzen.

Diese Serie von Angriffen auf wesentliche Kerninfrastrukturen in der westlichen Welt hat zu einer Welle zunehmend harscher Kritik an Kryptowährungen geführt. Securityinfowatch nennt Kryptowährungen den Treibstoff von Ransomware und fordert die Regulierungsbehörden auf, strengere Anforderungen an Krypto-Börsen durchzusetzen. Damit greift das Magazin eine Forderung einer Arbeitsgruppe gegen Cyberkriminalität aus dem letzten Jahr auf. Das Wall Street Journal ruft Ende Mai dazu auf, Bitcoin und andere Kryptowährungen zu verbieten, um Ransomware besser bekämpfen zu können. Auch in der US-Politik nimmt die Kritik zu. FBI-Direktor Christopher Wray verglich Anfang Juni die aktuelle Bedrohung durch Ransomware mit den Angriffen auf das World Trade Center am 11. September 2011. Dies würde die argumentative Brücke schlagen, um Ransomware-Pauschale als „Cyber-Terrorismus“ zu deklarieren “. Dies geschah bereits am Anfang . Dadurch würde Bitcoin viel stärker als bisher für die Terrorismusfinanzierung eingesetzt, was zu einer deutlich strengeren Regulierung oder sogar einem Verbot führen könnte.

Der jüngste Vorfall mit der Kaseya-Software wird deshalb auch vom kalifornischen Senator bei der Gelegenheit aufgenommen, ein härteres Vorgehen gegen Kryptowährungen zu fordern. Ransomware-Angriffe wie dieser, schreibt Eric Swalwell auf Twitter, bedrohen kritische Infrastrukturen, kleine Unternehmen und die nationale Sicherheit. Der Kongreff muss sich dem Thema stellen, auch die Rolle von Kryptowährungen beleuchten und dann schnell handeln.

Bisher ist Präsident Joe Biden weniger weit gegangen . Er hat die US-Geheimdienste beauftragt, den Angriff auf Kaseya genauer zu untersuchen. Bisher weiß man nicht mit Sicherheit, wer dahintersteckt; der erste Gedanke war, dass es nicht die russische Regierung war, aber man war sich noch nicht sicher. Aber er versprach eine Antwort, sollte sich herausstellen, dass Russland schuld sei. Natürlich ließ er offen, wie die Antwort aussehen würde.

Es sollte eher Verzweiflung als Hoffnung sein, das Ransomware-Problem über die russische Regierung beenden zu wollen. Selbst wenn es dazu bereit ist, ist es unwahrscheinlich, dass es die Macht hat, ein globales, dezentralisiertes Phänomen wie Ransomware zu stoppen. Vielmehr offenbart die Wuchersoftware immer mehr, wie verwundbar der technologisch eng vernetzte Westen ist und wie weit die Abhängigkeit von Technologieanbietern reicht, die wie Coop nur indirekt am Geschäft beteiligt sind. Um von einem Softwareangriff betroffen zu sein, müssen Sie ihn nicht einmal selbst verwenden. Dies macht es schwierig oder sogar unmöglich, das Risiko zu kontrollieren.

Bitcoin- und Blockchain-Technologien sind laut vielen Beobachtern eine Hauptursache. Wenn nicht für die Existenz von Malware, dann zumindest für den Umfang der Ransomware und den Schaden, den sie verursacht. Die Technologie könnte aber auch die Lösung sein, da die Blockchain von Bitcoin und anderen Kryptowährungen weitgehend immun gegen Ransomware-Angriffe ist. So würde beispielsweise ein Blockchain-basiertes Kassensystem in schwedischen Supermärkten trotz eines Angriffs das bargeldlose Bezahlen am Laufen halten. Und eine Speicherung wesentlicher Daten – oder gar Betriebsprogramme – auf einer gut skalierbaren Blockchain wäre ein nahezu perfekter Schutz vor Ransomware-Angriffen.


Vielen Dank dieser Artikel veröffentlichte

[ENGLISH]