Kaseya-Ransomware-Angriff: REvil-Gruppe fordert 70 Millionen Dollar Lösegeld
Für den Preis liefern die Angreifer ein universelles Entschlüsselungstool. Einzelne Opfer verhandeln allerdings bereits mit der REvil-Gruppe. Ein Opfer scheint ein Bauunternehmen aus dem deutschsprachigen Raum zu sein.
Die Ransomware-Gang REvil, die hinter dem Angriff auf die US-Softwarefirma Kaseya und deren Kunden steckt, hat ihre Lösegeldforderung veröffentlicht. Ein Screenshot des Sicherheitsanbieters Cybereason zeigt, dass die Hacker in ihrem Blog Kaseya auffordern, 70 Millionen Dollar zu zahlen. Im Gegenzug soll das Unternehmen einen universellen Decryptor erhalten, mit dem sich die Dateien aller Opfer entschlüsseln lassen.
Der Screenshot belegt zudem, dass die Cyberkriminellen wie üblich vor der Verschlüsselung Daten ihrer Opfer auf eigene Server kopiert haben. Er zeigt eine Übersicht von Laufwerken mit Bezeichnungen und Laufwerksbuchstaben. Die Bezeichnungen wie “Betriebssystem”, “Daten”, “Bauphysik” und “Vermessung” legen zudem nahe, dass es sich um ein deutschsprachiges Unternehmen aus der Baubranche handelt.
Die Hacker behaupten, von diesem Unternehmen insgesamt 500 GByte Daten abgezogen zu haben. Es soll sich um vertrauliche Kundendaten, Zeichnungen, Projekte, Verträge, Finanzberichte und andere geschäftliche Unterlagen handeln. Brisant könnte auch der Inhalte des Laufwerks “Betriebsrat” sein, das ebenfalls in dem Screenshot zu sehen ist.
Zuvor hatte die REvil-Gruppe bereits Lösegeldforderungen bei den einzelnen Opfern gestellt, laut Angaben von Sicherheitsforschern mit Beträgen zwischen 45.000 und 5 Millionen Dollar. Dem Sicherheitsexperte Kevin Beaumont liegen nach eigenen Angaben Informationen vor, wonach einige Betroffene zumindest mit der REvil-Gruppe verhandeln sollen.
Die US-Regierung hat indes die zuständigen Behörden des Landes angewiesen, den Vorfall zu untersuchen. Das FBI und die Cybersicherheitsbehörde CISA fordern Nutzer der Kaseya-Software VSA zudem auf, ein vom Hersteller bereitgestelltes Tool auszuführen. Es ermittelt die Gefahr eines möglichen Exploits. Zudem sollten Betroffene wo immer es möglich ist eine Zwei-Faktor-Authentifizierung für Unternehmenskonten aktivieren.