Eine unbekannte Hackergruppe fährt in diesen Tagen eine koordinierte Ransomware-Kampagne gegen Unternehmen, die sich immer noch nicht gegen eine zwei Jahre alte Software-Lücke gewappnet haben. Die italienische und französischen Cyberbehörden warnen Unternehmen deshalb erneut eindringlich, ihre Systeme auf den neuesten Stand zu bringen, um sich gegen die Angriffe zu schützen.
Betroffen sind Unternehmen, die eine Software der Firma VMWare nutzen, um auf ihren Servern virtuelle Maschinen einzurichten. Die Angreifer scheinen eine Möglichkeit gefunden zu haben, ohne viel Aufwand über das Internet auf diesen virtuellen Maschinen Schadsoftware zu verteilen, die die Daten verschlüsselt. Der IT-Sicherheits-Suchmaschine Onyphe zufolge wurden auf diese Art in den vergangenen Tagen mehr als 2100 Internetzugänge kompromittiert. Der Suchmaschine Shodan zufolge gibt es die meisten Angriffe auf Unternehmen in Kanada, den USA, Frankreich und Deutschland.
Die Kriminellen waren gut vorbereitet
Die Kriminellen scheinen ihre Kampagne gut vorbereitet zu haben, anders ist die Geschwindigkeit, mit der derzeit Unternehmen verschlüsselt werden, schwer zu erklären. Die französischen IT-Verteidiger warnen deshalb, selbst wenn Unternehmen jetzt die entsprechende Software updaten, dürften sie sich nicht zu sicher fühlen: Die Hacker könnten bereits im System sein.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht einer "mittleren dreistelligen Zahl" von Unternehmen, die in Deutschland von dem Angriff betroffen seien. Genauere Informationen zum Ausmaß der Schäden gebe es bislang noch nicht. Die Behörde stehe aber in engem Austausch mit internationalen Partnerbehörden und werde über ihre Webseite informieren, sobald es Updates zu Schäden oder zu Schutzmöglichkeiten gibt.
Derivate-Handel lahmgelegt
Ransomware-Angreifer, die Netzwerke verschlüsseln und von ihren Opfern Lösegeld für die Freigabe der Daten verlangen, haben in den vergangenen Jahren immer wieder Schlagzeilen gemacht. Am verheerendsten ist dabei derzeit eine Software namens Lockbit. In der vergangenen Woche war mit Lockbit die Firma Ion Trading UK lahmgelegt worden. Das britische Unternehmen ist mit seiner Software für einen großen Teil des internationalen Derivatehandels verantwortlich. Banken und Börsen waren aufgrund des Ausfalls der Firma gezwungen, ihren Derivatehandel manuell abzuwickeln.
Der Begriff Ransomware steht für Schadsoftware, die Daten auf angegriffenen Computern verschlüsselt und zur Entschlüsselung ein Lösegeld (ransom) verlangt. Die Kriminellen arbeiten dazu in Netzwerken zusammen: Die einen kümmern sich darum, in Computer einzudringen und die Daten zu verschlüsseln, die anderen wickeln die möglichen Lösegeldzahlungen ab. Ob man die Daten wirklich wieder zurückerhält, ist allerdings nicht gewiss. Oft genug ist die Software schlampig programmiert, sodass die Wiederherstellung der verschlüsselten Daten nicht oder nicht durchgängig funktioniert. Die Behörden empfehlen, kein Lösegeld zu zahlen, weil das nur dazu führt, dass das Geschäftsmodell Auftrieb erhält. Viele Unternehmen halten sich aber nicht daran, weil für sie der Aufwand unter Umständen geringer ist oder sie kein gutes Back-up der Daten haben.