„Die ursprüngliche Deutung war, dass es sich nicht um die russische Regierung gehandelt hat, aber wir sind uns noch nicht sicher“, sagte der US-Präsident am Vortag des größten US-Feiertages. Sollte sich herausstellen, dass Russland schuld sei, werde es eine Antwort Washingtons geben.
US-Unternehmen waren in der jüngsten Vergangenheit mehrfach Ziel von Cyberattacken geworden, für die jeweils russische Kriminelle verantwortlich gemacht worden waren. Biden und sein russischer Amtskollege Wladimir Putin hatten Mitte Juli auf ihrem Gipfel in Genf vereinbart, sich des Problems mit einer gemeinsamen Arbeitsgruppe anzunehmen.
Mehr als tausend Firmen womöglich betroffen
Fachleuten zufolge könnten mehr als tausend Unternehmen vom Angriff betroffen sein. Nach Angaben der auf Cybersicherheit spezialisierten Beratungsfirma Huntress Labs wurde die VSA-Software von Kaseya manipuliert, „um mehr als tausend Unternehmen zu verschlüsseln“.
Das IT-Unternehmen Kaseya hatte am Freitag die Cyberattacke bestätigt und versichert, der Angriff sei eingedämmt worden, sodass nur ein „sehr kleiner Prozentsatz“ der Kunden betroffen sei, die das VSA-Netzwerk von Kaseya nutzten. Zuvor hatte Huntress Labs erklärt, die Computernetzwerke von rund 200 Firmen seien bei dem Hackerangriff „verschlüsselt“ worden.
Unternehmen: Vorfall wird untersucht
Bei Angriffen mit Ransomware sperren oder verschlüsseln Hacker die Computersysteme ihrer Opfer, um von den Nutzern Geld für die Freigabe ihrer Daten zu erpressen. Kaseya ist nach eigenen Angaben ein führender Anbieter für Informationstechnologie und IT-Sicherheit für kleine und mittlere Unternehmen. Über den VSA-Server können Unternehmen all ihre Computer und Drucker von einem einzigen Arbeitsplatz aus steuern.
„Wir sind dabei, mit einem hohen Maß an Vorsicht die eigentliche Ursache für den Vorfall zu untersuchen“, erklärte Kaseya zunächst in einem Forum des Onlinedienstes Reddit. Die Firma forderte ihre Kunden auf, sofort ihren VSA-Server abzuschalten, „bis Sie von uns weitere Informationen erhalten“.
Später erklärte Kaseya, seine Kunden seien über die Firmenwebsite, per E-Mail, Anzeige auf dem Rechner und per Telefon über den Vorfall unterrichtet und zum Abschalten ihrer VSA-Server aufgefordert worden. „Wir denken, dass wie die Quelle der Anfälligkeit gefunden haben, und bereiten eine Korrektur vor“, erklärte das in Miami ansässige Unternehmen weiter, das nach eigenen Angaben mehr als 40.000 Kunden hat.
Auswirkungen auch in Schweden
Eine der größten schwedischen Supermarktketten musste eigenen Angaben zufolge am Samstag rund 800 Filialen vorübergehend schließen, weil ihre Kassen nicht mehr funktionierten. Ein Subunternehmer sei nämlich Ziel des digitalen Angriffs geworden, teilte Coop Schweden mit. Details nannte das Unternehmen nicht. Die schwedische Tochtergesellschaft des Softwarekonzerns Visma teilte jedoch mit, das Problem stehe im Zusammenhang mit dem Cyberangriff auf Kaseya. Neben Coop war auch das staatliche Bahnunternehmen SJ betroffen.
Hackergruppe REvil unter Verdacht
Nach Einschätzung des Computernotfallteams der neuseeländischen Regierung steckte hinter der Cyberattacke eine Hackergruppe namens REvil. Im Mai waren die Colonial-Ölpipeline in den USA und die US-Tochter des weltgrößten Fleischproduzenten JBS Opfer eines Cyberangriffs mit Ransomware geworden.
Voriges Jahr hatten sich Hacker über Software des US-IT-Unternehmens SolarWinds Zugang zu den Systemen von Ministerien, Behörden und Unternehmen verschafft. Die US-Bundespolizei FBI machte Hacker in Russland für diese Cyberattacken verantwortlich. Die Attacke auf JBS wurde nach Einschätzung des FBI ebenfalls von REvil verübt.