BR24 Logo
BR24 Logo
Startseite
© picture alliance / PHOTOPQR/LA MONTAGNE/MAXPPP | Thierry LINDAUER
Bildrechte: picture alliance / PHOTOPQR/LA MONTAGNE/MAXPPP | Thierry LINDAUER

Symbolbild: gehackter PC mit einer entsprechend programmierten Ransomware.

6
Per Mail sharen

    Die skrupellosen Cyberkriminellen von "REvil"

    Es ist einer der größten Cyberangriffe bisher: 70 Millionen US-Dollar Lösegeld werden gefordert. Auch ein bayerisches Unternehmen ist betroffen. Die Hacker haben ein cleveres Geschäftsmodell aufgebaut.

    6
    Per Mail sharen
    Von
    • Hakan Tanriverdi

    Die Cyberkriminellen sind gnadenlose Chat-Partner. "Werd’ wieder nüchtern. Komm' zurück, wenn du klar im Kopf bist", schreiben die Hacker. Sie wurden angeschrieben von einem Unternehmen, dessen Netzwerk mit sogenannter Ransomware verschlüsselt wurde. Das Unternehmen will Geld zahlen, damit es wieder an seine Dateien kommen kann. Doch anscheinend lief etwas schief in der Kommunikation und die Hacker werden ausfallend.

    Chat über das Darknet

    Der Chat läuft über das Darknet. BR Recherche konnte ihn einsehen. Er zeigt, wie sicher sich die Kriminellen fühlen, die von IT-Sicherheitsexperten "REvil" genannt werden. Ihnen ist ein Coup gelungen: Sie versuchen derzeit, 70 Millionen US-Dollar an Lösegeld zu erpressen, nachdem sie es geschafft haben, mehr als "tausende IT-Geräte" zu verschlüsseln, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) am Montag mitteilte.

    Der Hack beginnt mit einem Angriff auf den Softwarehersteller Kaseya. Dieser hat nach eigenen Angaben über 40.000 Kunden. Sie setzen die Software entweder als Cloud-Lösung ein oder haben sie lokal installiert. Nur letztere sind betroffen. Noch ist nicht abschließend geklärt, wie es den Hackern gelungen ist, in die Netzwerke einzudringen. In der Software gibt es Sicherheitslücken, die Hacker ausgenutzt haben.

    Erst Kunden gehackt, dann Kunden von Kunden

    Im Gespräch mit der Nachrichtenagentur AP schätzt Kaseya-Firmenchef Fred Voccola, dass die Netzwerke von 50 bis 60 Kunden betroffen sein könnten. Doch ein Großteil dieser Kunden sind IT-Dienstleister, deren Aufgabe es ist, die Netzwerke von kleineren Firmen zu schützen, die sich keine IT-Abteilung leisten können. Und so führt ein einziger Vorfall dazu, dass Kunden von Kunden gehackt werden, die Zahl der betroffenen Unternehmen in die Tausende gehen könnte und die Hacker eine Rekordsumme erpressen wollen.

    Der Fall Kaseya zeige, argumentiert BSI-Präsident Arne Schönbohm, welche Abhängigkeiten heutzutage bestehen. Denn: "Bei dem aktuellen Angriff wurde Ransomware über jedes Glied einer Software-Lieferkette ausgerollt".

    REvil: "Es geht einfach nur um das Business"

    Die Hacker schreiben auf ihrer Seite im Darknet, dass sie über eine Million Geräte infiziert haben. Die Zahl ist nicht belegt. Zweck des Blogs ist Marketing für die Hacker. Kaseya selbst geht davon aus, dass es derzeit insgesamt 1.500 Betroffene gibt. Zu den öffentlich bekannten Opfern gehören Kindergärten in Neuseeland, eine Supermarktkette in Schweden, die Hunderte Filialen schließen musste.

    Die Hacker selbst geben sich gelassen: "Es geht einfach nur um das Business", erklärten die Hacker im Chat mit einem Journalisten. Die internationale Aufregung scheint sie nicht sonderlich zu beeindrucken.

    Software mit Lizenzmodell

    Die Cyberkriminellen von "REvil" haben nach Angaben von IT-Sicherheitsexperten ein lizenzbasiertes Geschäftsmodell. Sie arbeiten nur mit ausgewählten Hackern zusammen und vermieten diesen den Zugang zu ihrer Software. Sind diese Hacker erfolgreich und können Geld erpressen, müssen sie die Entwickler der Schadsoftware prozentual beteiligen. Wie die Hacker in Netzwerke eindringen können, müssen sie selbst herausfinden, erklärt der Experte Andreas Rohr von der Deutschen Cyber-Sicherheitsorganisation DCSO.

    Mal werden diese Zugänge bei anderen Cyberkriminellen gekauft, mal werden Phishing-Mails verschickt. Im aktuellen Fall ist es offenbar gelungen, eine Sicherheitslücke zu finden und diese auszunutzen. "Dann erst wird die Schadsoftware von "REvil" verwendet. Das heißt, die Verschlüsselung, die durch diese Gruppe entwickelt wurde, die ist erst der zweite Schritt".

    Spur nach Russland?

    Wer hinter der Gruppe steckt, ist derzeit noch unklar. Der Code der Hacker gibt allerdings Hinweise darauf, in welchem Land die Schadsoftware entwickelt wurde. Denn auffällig ist: Beim Start des Rechners prüft die Software die Spracheinstellungen. Wird eine Sprache der GUS-Staaten verwendet – dazu gehören unter anderem Russland, Ukraine, Armenien, Aserbaidschan, Kasachstan und Usbekistan – werden die infizierten Rechner anschließend nicht verschlüsselt.

    IT-Sicherheitsforscher der Firma McAfee schilderten in Vorträgen, dass sie während eines Urlaubs in Russland Kunden helfen konnten, indem sie selbst geschossene Fotos aus Moskau schickten. Die Hacker dachten, sie hätten ein russisches Opfer und stellten die Werkzeuge für die Entschlüsselung kostenlos bereit. Über Verbindungen zum russischen Staat wird spekuliert, sie sind aber nicht belegt. Dem russischen Staat wird vorgeworfen, zu lasch gegen Hackergruppen vorzugehen, die von dort aus frei agieren können.

    Situation in Deutschland unklar

    Wie viele Fälle es in Deutschland gibt, ist derzeit unklar. Das BSI spricht allgemein davon, dass "auch in Deutschland" IT-Dienstleister betroffen sind. Die Firma HiSolutions betreut derzeit fünf mittelständische Unternehmen, deren Netzwerke verschlüsselt wurden. "Unserer Einschätzung nach handelt es sich dabei mehrheitlich nicht um kritische Fälle", sagt Enno Ewers von HiSolutions im Gespräch mit BR Recherche. Bei den Firmen seien Backup-Daten vorhanden. Wenn diese wieder eingespielt werden, kommen die betroffenen Unternehmen glimpflich davon.

    Auch Unternehmen in Bayern betroffen

    Auch ein Unternehmen aus Bayern soll betroffen sein, wie Thomas Goger von der Zentralstelle Cybercrime der Bamberger Staatsanwaltschaft im Interview mit BR24 ausführte. "Wir haben mittlerweile auch einen Fall in Bayern, über den ich allerdings nichts Näheres zum jetzigen Zeitpunkt sagen möchte." Man beobachte, dass die Hacker immer professioneller vorgehen würden. Die Opfer, die man sich suche, würden gezielt ausgesucht.

    Preisverhandlungen möglich

    Im aktuellen Fall werden 70 Millionen US-Dollar gefordert, um einen Generalschlüssel zur Verfügung zu stellen. Die Summe, die verlangt wird, richte sich nach mehreren Faktoren, erklärt Andreas Rohr von der DCSO. "Zum einen geht es darum, wie gut Unternehmen in der Lage sind, solche Forderungen zu bezahlen. Aber wichtig ist auch, wie groß der Druck für ein Unternehmen ist, um möglichst schnell wieder an die Daten zu kommen."

    Die Hacker von "REvil" sind oft bereit, die Summe deutlich zu reduzieren. In einem Fall, in dem ein deutscher Kupferhersteller gehackt worden war, wollten die Hacker zu Beginn 7,5 Millionen US-Dollar, gaben sich am Ende aber mit 1,27 Millionen US-Dollar zufrieden. In einem Chat mit dem IT-Sicherheitsexperten Jack Cable haben die Hacker zumindest angedeutet, dass sie im aktuellen Fall offen für solche Verhandlungen sind. Sie würden sich auch mit 50 Millionen US-Dollar zufriedengeben.

    "Darüber spricht Bayern": Der BR24-Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!