Server abgeschaltet

IT-Firma Kaseya fällt Ransomware-Attacke zum Opfer

Auf eine Netzwerk-Software der US-IT-Firma Kaseya ist eine Ransomware-Attacke verübt worden, von der womöglich Dutzende Unternehmen betroffen sind. Kaseya versicherte am Freitag, die Attacke sei eingedämmt worden, sodass nur ein „sehr kleiner Prozentsatz“ der Kunden betroffen sei, die das sogenannte VSA-Netzwerk der Firma nutzten. Dies seien „schätzungsweise weniger als 40 weltweit“.

Zuvor hatte die auf Cybersicherheit spezialisierte Beratungsfirma Huntress Labs erklärt, die Computernetzwerke von rund 200 Firmen seien bei dem Hackerangriff „verschlüsselt“ worden. Kaseya ist nach eigenen Angaben ein führender Anbieter für Informationstechnologie und IT-Sicherheit für kleine und mittlere Unternehmen.

„Wir sind dabei, mit einem hohen Maß an Vorsicht die eigentliche Ursache für den Vorfall zu untersuchen“, erklärte Kaseya zunächst in einem Forum des Online-Dienstes Reddit. Die Firma forderte ihre Kunden auf, sofort ihren sogenannten VSA-Server abzuschalten, „bis Sie von uns weitere Informationen erhalten“. Über den VSA-Server können Unternehmen all ihre Computer und Drucker von einem einzigen Arbeitsplatz aus steuern.

„Quelle der Anfälligkeit gefunden“
Später erklärte Kaseya, seine Kunden seien über die Firmen-Website, per E-Mail, Anzeige auf dem Rechner und per Telefon über den Vorfall unterrichtet und zum Abschalten ihrer VSA-Server aufgefordert worden. „Wir denken, dass wie die Quelle der Anfälligkeit gefunden haben, und bereiten eine Korrektur vor“, erklärte das in Miami ansässige Unternehmen weiter, das nach eigenen Angaben mehr als 40.000 Kunden hat.

Die US-Behörde für Cybersicherheit teilte mit, dass sie den Vorfall untersuche. Sie rief Unternehmen auf, die Anweisungen von Kaseya zu befolgen und ihren VSA-Server sofort abzuschalten. Die Cyber-Attacke ereignete sich vor dem Wochenende, an dem der Unabhängigkeitstag der USA gefeiert wird.

Hackergruppe REvil hinter Angriff vermutet
Nach Einschätzung des Computer-Notfallteams der neuseeländischen Regierung steckte hinter der Cyber-Attacke die Hackergruppe REvil. Auffällig ist, dass diese keine Ziele in GUS-Staaten angreift, weshalb vermutet wird, dass die Gruppe ihren Ursprung in Russland oder ehemaligen Mitgliedstaaten der Sowjetunion hat. Zuletzt soll REvil für den Ransomware-Angriff auf die US-Tochter des weltgrößten Fleischproduzenten JBS verantwortlich gezeichnet haben.