Bisher größte Ransomware-Welle legt 800 Supermärkte in Schweden lahm

Eine Ransomware infiziert eine Software eines Entwicklers aus Florida. Weil die Software von so vielen Unternehmen verwendet wird, streut die Malware weltweit und erreicht bis zu einer Million Unternehmen. Unter den Opfern der bisher größten bekannten „Supply Chain Attacke“ sind auch 800 Supermärkte in Schweden. Wird Ransomware zum „Cyberterrorismus“ – und droht dadurch auch ein Bitcoin-Verbot?

In Schweden greift die bisher größte Ransomware-Pandemie auch die Grundversorgung an. Die Supermarktkette Coop, an vielen Orten die einzige Lebensmittelquelle, musste ihre 800 Filialen in dem Land schließen. Dabei war nicht Coop selbst betroffen, sondern lediglich ein für die Kassensysteme verantwortlicher Subunternehmer.

Zugleich berichten die staatlichen Eisenbahnen und einige Apotheken von Störungen. Das Ausmaß des Angriffs geht so weit, dass sich sogar Verteidigungsminister Peter Hultqvist dazu äußert: In einer anderen geoplitischen Lage könnten staatliche Akteure mit einem solchen Angriff die Gesellschaft lahmlegen und Chaos anrichten.

Tatsächlich offenbart der Angriff vor allem die Verletzlichkeit der vernetzten westlichen Gesellschaften. Es handelt sich um die bisher weitreichendste „Supply-Chain-Attacke“.

Schon am 2. Juli berichtete Reuters davon, dass ein „ungewöhnlich ausgefeilte“ Ransomware-Angriff die Software von Kaseya, einem Entwickler aus Miami in Florida infiziert habe. Die Angreifer haben ein Werkzeug von Kasey namens VSA ausgetauscht, welches eine Vielzahl von Unternehmen verwenden.

Nachdem die Infektion bekannt war, beauftragte Kaseya die Sicherheitsfirma Huntress mit der Analyse. Diese stellte fest, dass die Ransomware über acht Serviceanbieter, die das Tool von Kaseya verwenden, bereits 200 Unternehmen erreicht habe. Bei diesen habe die Ransomware Daten verschlüsselt; um die notwendigen Schlüssel zur Wiederherstellung der Daten zu erhalten, müssen die Unternehmen ein Lösegeld in Bitcoin oder Monero bezahlen.

Es handele sich um eine „kolossale und verheerende Supply Chain Attacke“, erklärte ein Sicherheitsanalyst von Huntress. Da die Software von Kaseya Teil so weit verbreitet sei, von großen Konzernen bis zu kleinen Unternehmen, habe der Angriff das Potenzial, eine gewaltige Reichweite zu erreichen.

Über das Wochenende offenbarte sich erst das Ausmaß der Angriffswelle. REvil, eine Hackergruppe aus vermutlich Russland, bekannte sich zu der Attacke. Sie erklärte auf ihrer Webseite im Darknet, dass bis zu einer Million Unternehmen betroffen seien.

REvil hatte zunächst je Unternehmen bis zu fünf Millionen Dollar Lösegeld verlangt, bietet nun aber an, für 70 Millionen Dollar sämtliche Schlüssel herauszurücken.

Neben den erwähnten Unternehmen in Schweden weiß man mittlerweile, dass auch einige Softwareanbieter aus Deutschland und Schweden betroffen sind, über die, laut einem namentlich nicht genannten deutschen Anbieter, tausende ihrer Kunden gefährdet oder auch betroffen seien. Daneben hat es unter anderem auch Schulen in Neuseeland erwischt.

Ein britischer Cybersicherheits-Berater erklärte, ein Angriff mit dieser Rafinesse und Reichweite sei rar, wenn nicht beispiellos. „Es handelt sich um eine wirklich ernstzunehmende, globale Operation.“

Zahlreiche Medien notieren den passend-ungünstigen Zeitpunkt der Angriffswelle. Ransomware wuchert derzeit zu einem Thema der nationalen Sicherheit. Im Mai unterbrach ein Angriff den Betrieb der Colonial Pipeline, die etwa 45 Prozent des Gases transpartiert, das an der Ostküste der USA verbraucht wird. Die Betreiber bezahlten ein Lösegeld von 4,4 Millionen Dollar, das das FBI ganz oder teilweise später von einer Börsenwallet einziehen konnte.

Doch der Vorfall unterstrich, wie vulnerabel Kerninfrastrukturen sein können, und wie sehr Kryptowährungen und Ransomware Hackern Anreize gibt, diese anzugreifen.

Der Angriff auf die Colonial Pipeline war vermutlich Anlass, um Ransomware zu einem geopolitischen Reizthema zu machen. Denn in Sicherheitskreisen kursieren schon lange Vermutungen, dass viele der Hacker hinter Ransomware – etwa REvil – in Russland beheimatet seien, vom russischen Staat geduldet werden, solange sie keine russischen Ziele angreifen, und von Geheimdiensten sogar für Auftragsarbeiten engagiert werden.

Vor etwa einem Monat hat US-Präsident Joe Biden nun Ransomware zur „dringenden nationale Bedrohung“ erklärt. Im Gespräch mit seinem russischen Amtskollegen Vladimir Putin förderte er, dass Russland nicht länger ein sicherer Hafen für Hackergruppen wie REvil sei. Zumindest sollten bestimmte kritische Infrastrukturen zum Tabu erklärt werden, etwa die Energieversorgung, das Gesundheitswesen, Nahrungsmittel, Abfallverarbeitung, Transport und andere.

Offenbar kann oder will die russische Regierung allerdings die Hacker im Land nicht davon abhalten, Schäden im westlichen Ausland anzurichten – und natürlich gibt es nicht nur in Russland Hacker, die Ransomware verwenden, sondern auf der ganzen Welt. Daher hat das Gespräch von Biden und Putin nichts dazu beigetragen, die Pandemie der erpresserischen Viren aufzuhalten.

Ende Mai erwischte es etwa die Schwedische Gesundheits-Agentur (Folkhälsomyndigheten). Eine Ransomware hatte SmiNet, die nationale Datenbank für Infektionskrankheiten, lahmgelegt. Für etwa eine halbe Woche gab es in Schweden daher keine Statistiken über Corona-Neuinfektionen.

Die dahinterstehende Ransomware, Conti, scheint sich auf das Gesundheitswesen spezialisiert zu haben: Erst kurz zuvor hatte sie die „Irish Health Service Executive“ erwischt, eine wichtige Organisation des irischen Gesundheitssystems; laut FBI hat Conti mehr als ein Dutzend Gesundheitsdienstleister in den USA infiziert. So wie REvil wird von Conti behauptet, dass die Hacker von Russland aus operieren.

Anfang Juni traf es dann JBS, was Tierschützer mit einer gewissen Schadensfreude notiert haben, da JBS der weltweit größte „Hersteller“ tierischer Leichenprodukte bzw. Fleisch ist. In Folge des Angriffs musste JBS kurzzeitig den Betrieb in allen Produktionsstätten aussetzen, was das Leben von Zigtausenden Tieren um einige Tage verlängert haben dürfte. Das Unternehmen bezahlte daraufhin das Lösegeld von 11 Millionen Dollar, um die gewohnten Blutbäder fortzusetzen.

Diese Serie von Angriffen auf essenzielle Kerninfrastrukturen der westlichen Welt ziehen eine Welle zunehmend schärferer Kritik an Kryptowährungen nach sich. Securityinfowatch nennt Kryptowährungen den Triebstoff von Ransomware und fordert die Regulierer auf, Auflagen bei Kryptobörsen schärfer durchzusetzen. Damit greift das Magazin eine bereits im vergangenen Jahr erhobene Forderung einer Arbeitsgruppe gegen Cybercrime auf. Das Wall Street Journal fordert Ende Mai gleich dazu auf, Bitcoin und andere Kryptowährungen zu verbieten, um Ransomware besser zu bekämpfen.

Auch in der US-Politik mehrt sich die Kritik. FBI-Direktor Christopher Wray verglich Anfang Juni die gegenwärtige Bedrohung durch Ransomware mit den Angriffen auf das World Trade Center am 11. September 2011. Damit wäre die argumentative Brücke gebaut, um Ransomware pauschal zum „Cyberterrorismus“ zu erklären. Im Ansatz geschah dies bereits. Dies hätte zur Folge, dass Bitcoin in sehr viel größeren Umfang als bisher für die Terrorfinanzierung genutzt wird, was zum Anlass einer sehr viel schärferen Regulierung oder gar einem Verbot werden könnte.

Den jüngsten Vorfall um die Software von Kaseya nimmt daher auch ein kalifornischer Senator zum Anlass, ein schärferes Vorgehen gegen Kryptowährungen zu fordern. Ransomware-Angriffe wie dieser, schreibt Eric Swalwell auf Twitter, bedrohen kritische Infrastruktur, kleine Unternehmen und die nationale Sicherheit. Der Kongreff müsse sich des Themas annehmen, dabei auch die Rolle von Kryptowährungen beleuchten, und dann rasch handeln.

Weniger weit geht bislang Präsident Joe Biden. Er hat die US-Geheimdienste beauftragt, den Angriff auf Kaseya genauer zu untersuchen. Man wisse bisher nicht mit Sicherheit, wer dahinterstecke; der erste Gedanke sei gewesen, dass es nicht die russische Regierung sei, aber man sei noch nicht sicher. Er versprach aber eine Antwort, falls sich herausstelle, dass Russland die Schuld trage. Welcher Art diese Antwort sein werde, ließ er freilich offen.

Dabei dürfte es eher Verzweiflung als Hoffnung sein, das Ransomware-Problem über die russische Regierung beenden zu wollen. Selbst wenn diese willens ist, dürfte sie kaum die Macht haben, ein globales, dezentrales Phänomen wie die Ransomware aufzuhalten. Vielmehr legt die erpresserische Software mehr und mehr offen, wie angreifbar der technologisch eng vernetzte Westen ist, und wie weit die Abhängigkeit von Technologieanbietern reicht, die wie bei Coop nur indirekt in das Geschäft involviert sind. Um von einem Angriff einer Software betroffen zu sein, muss man diese nicht einmal mehr selbst benutzen. Dies macht es schwierig bis unmöglich, das Risiko zu beherrschen.

Bitcoin und Blockchain-Technologien sind laut vielen Beobachtern eine maßgebliche Ursache. Wenn nicht für die Existenz von Malware, so doch für die Reichweite von Ransomware und die damit einhergehenden Schäden. Dabei aber könnte die Technologie auch Lösung sein, da die Blockchain von Bitcoin und anderen Kryptowährungen weitgehend immun gegen Ransomware-Angriffen ist. So würde ein Blockchain-basiertes Kassensystem in schwedischen Supermärkten den bargeldlosen Zahlungsverkehr trotz eines Angriffs aufrecht halten. Und eine Speicherung essenzieller Daten – oder gar operativer Programme – auf einer gut skalierbaren Blockchain wären ein nahezu perfekter Schutz vor Ransomware-Angriffen.