REvil-Verschlüsselungs-Trojaner kam als Sicherheitsupdate getarnt

Die Attacke der Hackergruppe REvil führt die Entwicklung böswilliger Software weiter. Nun muss jeder davon ausgehen, dass sein Rechner betroffen sein könnte.

Lesezeit: 8 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 3 Beiträge

(Bild: aslysun/Shutterstock.com)

Von
  • Ingo T. Storm

Anfang Juli gelang es der Hackergruppe REvil, gut 50 Server zu infiltrieren, die Software und Updates an Tausende von Firmenrechnern verteilen – daher der Name Lieferkettenangriff oder Supply-Chain-Attack. Die Hacker platzieren ihre Schadsoftware dabei möglichst weit vorne in der Software-Lieferkette in einem vermeintlichen Update und können sich darauf verlassen, dass dieses an etliche Client-Rechner weitergeleitet wird, denn die wollen ja unbedingt regelmäßige Updates bekommen.

Der PC, also das Ende der Lieferkette, ist einem solchen Angriff ziemlich hilflos ausgeliefert. Schließlich muss er seinen Update-Lieferanten vertrauen, denn niemand kann jedes einzelne Update auf Manipulationen untersuchen. Virenscanner helfen meistens auch nicht – wer Updates bringt, genießt Vertrauen und hat daher oft genügend Rechte, um den Virenschutz lahmzulegen.

Mehr von c't Magazin Mehr von c't Magazin

Egal, ob Ihr PC oder Server nun in einer Behörde oder einem Unternehmen steht oder zu Hause nur privaten Zwecken dient: Sie müssen ganz anders als bisher über die Sicherheit Ihrer Daten nachdenken, denn solche Angriffe werden auch in Zukunft nicht zu verhindern sein. Wer seine Daten nicht so sichert, dass sie die meiste Zeit nicht erreich- und damit auch nicht zerstörbar sind, muss früher oder später mit dem Totalverlust rechnen. Wer zwar brav sichert, aber das Zurückspielen nie durchexerziert, wird im Ernstfall sehr viel Zeit verlieren. Das ist privat nur ärgerlich. Eine Firma, die zu lange braucht, um eine befallene Infrastruktur wieder herzustellen, kann daran aber auch pleitegehen.

Meinung: Da läuft was schief

Da wird ein Dienstleister gehackt und hunderte Unternehmen sind betroffen. Parallel gehen ganze Verwaltungen vom Netz und alles nur. Doch wer ist Schuld an dieser Misere? Hätte "mehr Linux" und mehr freie Software geholfen? Georg Schnurer hat da eine klare Meinung.

Ein Ausflug in den Ablauf dieses Angriffs hilft zu verstehen, warum er die Computerwelt nachhaltig durcheinanderbringt. Die Hackergruppe REvil, von der vermutet wird, dass sie aus Russland heraus operiert, nutzte mehrere Sicherheitslücken aus, um Server zu infiltrieren, auf denen die Software Kaseya VSA lief. Einige dieser Lücken waren taufrisch und es gab noch keinen Sicherheitspatch dafür – die Security-Branche nennt das "Zero-Day-Lücke". Mindestens eine davon war der Firma Kaseya seit April bekannt.

Durch diese Lücken gelang es REvil jedenfalls, zwischen 50 und 60 Kaseya-VSA-Server zu kapern. Jeder dieser Server gehört einem "Managed Service Provider" oder MSP. Das sind IT-Dienstleister, die die Systeme kleinerer und mittlerer Unternehmen warten: Updates einspielen, Benutzer verwalten et cetera. REvil versteckte nun einen Erpressungstrojaner in den Updates, die Kaseya VSA pflichtgemäß an die Kunden-Server und -PCs auslieferte.

Dieses "Sicherheitsupdate" erledigte zwei Jobs: Es legte den in Windows eingebauten Virenscanner lahm und es verschlüsselte alle erreichbaren Daten. Da das Update von einem scheinbar vertrauenswürdigen Server kam, konnte es besonders viele Daten erreichen und verschlüsseln – viel mehr, als der PC-Nutzer normalerweise sieht. Zu guter Letzt legte die Ransomware die Lösegeldforderung als Klartextdatei auf die Festplatte.

Wenn ein Verschlüsselungstrojaner zugeschlagen hat, erscheint eine Lösegeldforderung – üblicherweise in einer Kryptowährung bezahlbar.

Wohl in der Hoffnung, nicht über 1000 Mal ein fünfstelliges Lösegeld kassieren und dafür Entschlüsselungsinformationen herausgeben zu müssen, forderte REvil über eine eigene Seite im weitgehend anonymen Tor-Netzwerk 70 Millionen US-Dollar für einen Generalschlüssel, der die Daten auf allen betroffenen Rechnern wiederherstellen sollte.

Die Firma Kaseya hatte vielleicht in der Vergangenheit gepatzt und ein Sicherheitsloch nur unzureichend gestopft. Doch nun reagierte sie im Rahmen der Möglichkeiten vorbildlich. Nach rund zwei Wochen waren die meisten MSP, die einen eigenen Kaseya-VSA-Server zur Pflege der Systeme ihrer Kunden einsetzen, wieder arbeitsfähig.

Die von REvil letztlich betroffenen Firmen, also die Kunden der Kaseya-Kunden, mussten dagegen alleine zusehen, wie sie ihre vielen tausend Rechner gesäubert und wieder in Gang bekommen. Dass die MSP dabei eine große Hilfe waren, darf bezweifelt werden, denn sie hatten ja mit dem Säubern und Absichern der eigenen Server schon genug zu tun.

REvil hat die Lieferkettenattacke nicht erfunden, aber verfeinert. Die Gruppe geht dabei extrem professionell vor, bis hin zur Support-Webseite, über die die Opfer Hilfe beim Entschlüsseln ihrer Daten erhalten. REvil vermietet ihre Schadsoftware sogar: Wer ein Netz geknackt hat, bekommt auf Wunsch den Trojaner zur Verfügung gestellt. REvil übernimmt auch das Inkasso und behält eine prozentuale Beteiligung ein. Außerdem erhöht REvil den Druck auf die Opfer, indem die Gruppe Daten nicht nur verschlüsselt, sondern damit droht, sie zu veröffentlichen. In den letzten Monaten konnte REvil so zweistellige Millionenbeträge einsammeln.

Die aktuelle Attacke rief die US-Regierung auf den Plan. US-Präsident Biden forderte Russland nicht nur öffentlich dazu auf, strenger gegen Hacker vorzugehen, die aus Russland heraus operieren. Diesmal griff Biden sogar zum Telefon und drohte dem russischen Präsidenten Putin mit weiteren Sanktionen.

Es wird gemunkelt, dass die russische Regierung daraufhin REvil auf die Finger geklopft hat. Vielleicht hat die Gruppe auch nur kalte Füße bekommen oder macht erst mal Pause, um die Millionen aus den vergangenen Fischzügen auch ausgeben zu können. Jedenfalls ist REvil wenige Tage nach dem Präsidententelefonat von der Bildfläche verschwunden.

Das mag manchen beruhigen. Sehr ärgerlich ist es jedoch für einige Opfer, die bereits Lösegeld bezahlt haben, mit dem gelieferten Schlüssel aber nur einen Teil der Daten wiederherstellen konnten. Und nun ist der Support nicht mehr erreichbar, der einem beim Entschlüsseln helfen könnte … Ebenso misslich ist die Lage für diejenigen, die gern bezahlen würden, um ihre Netze wieder hochfahren zu können.

Was bleibt, ist eine ziemlich apokalyptische Vision. Kaseya VSA ist nur eines von vielen Werkzeugen, mit denen Managed Service Provider sich um die Systeme ihrer Kunden kümmern. Und obwohl nur ein kleiner Anteil der Kaseya-VSA-Server gehackt wurde, waren über 1000 Kunden der MSP und damit geschätzt weit mehr als 10.000 Rechner betroffen.

Privatanwender kamen bei diesem Angriff ungeschoren davon, denn sie sind weder an MSP-Systeme angeschlossen noch attraktive Ziele für die Erpresserbanden. Ein Einbruch in Microsofts, Googles oder Apples Update-Server wäre für Otto Normaluser die maximale Bedrohung, bleibt aber unwahrscheinlich, denn es gibt weniger aufwendige Wege in die Netze interessanter Opfer. Zur Software-Lieferkette gehören zum Beispiel auch Grafikkarten- und Druckerhersteller sowie unzählige unabhängige Softwareanbieter.

Selbst auf einem wenig genutzten Windows-PC ist eine zweistellige Anzahl von Programmen installiert, für die Updates nicht direkt von Microsoft kommen. Dazu gehören auch in Firmen verbreitete Werkzeuge wie PDF-Reader und -Editoren, Zeichensoftware und Bildbearbeitung. Und so könnten Millionen privat genutzte PCs zum Kollateralschaden werden, wenn sich die nächsten Erpresser ein Allerweltswerkzeug als Einstiegsluke in die Netze ihrer Opfer aussuchen.

PC-Besitzer stecken also in einer Zwickmühle. Wenn sie mit Updates trödeln, könnte ihr Rechner über eine Schwachstelle wie die jüngst aufgetretene PrintNightmare-Lücke verseucht werden. Installieren sie zügig alle Updates, droht eine Lieferkettenattacke. Wir halten Letzteres derzeit für das weit weniger wahrscheinliche Übel. Aber wie gesagt: Sichern Sie Ihre Daten so, dass kein Trojaner sie erreichen kann. Halten Sie alle Informationen parat, die Sie für eine Neuinstallation brauchen. Erstellen Sie zusätzlich regelmäßig ein Systemabbild. Falls es sich um einen Windows-PC handelt, zum Beispiel mit unserem Werkzeug c’t-WIMage.

Kurz vor Druckschluss teilte Kaseya mit, von einer ungenannten Quelle einen Generalschlüssel erhalten zu haben. Die Betroffenen könnten also mit einem blauen Auge davonkommen. Aber 19 Tage haben sie auf jeden Fall schon verloren.

c’t Ausgabe 17/2021

In c’t 17/2021 liefern wir jede Menge Anregungen und Tipps fürs mobile Büro. Wir bescheren älteren Geräten mit dem Raspberry Pi einen zweiten Frühling, haben Versender von Phishing-Mails entlarvt und den brandneuen AMD Ryzen 5700G getestet. Außerdem beleuchten wir klimafreundliche(re) Kryptowährung, testen USB-Speicher mit Schreibschutz und stellen sechs technische Konzepte für Quantencomputer vor. Ausgabe 17/2021 finden Sie ab dem 30. Juli im Heise-Shop und am gut sortierten Zeitschriftenkiosk.

(it)