Kaseya-Attacke: FBI hielt wochenlang Generalschlüssel zurück

Nachdem der IT-Dienstleiter Kaseya Opfer einer perfiden Attacke geworden war, wurde es für die Opfer teuer. Das FBI hielt derweil einen Generalschlüssel zurück.

In Pocket speichern vorlesen Druckansicht 84 Kommentare lesen

(Bild: Pixels Hunter/Shutterstock.com)

Lesezeit: 3 Min.

Während Dutzende Unternehmen mit den Folgen des perfiden Hacking-Angriffs auf Kaseya zu kämpfen hatten, war das FBI in Besitz des Generalschlüssels. Erst Tage nachdem die dafür verantwortliche Hackergruppe REvil von der Bildfläche verschwunden war, gab die US-Bundespolizei den Key schließlich an Kaseya – nach etwa drei Wochen. Das berichtet die Washington Post unter Berufung auf mehrere ungenannte Quellen.

Damit konnte ein Auftragnehmer von Kaseya innerhalb kürzester Zeit ein Entschlüsselungswerkzeug anfertigen, mit dem Opfern geholfen werden konnte. Bis dahin waren aber bereits immense Schäden angerichtet, die mit einer früheren Weitergabe des Schlüssels eventuell hätten verhindert werden können.

Dem Bericht zufolge war das FBI durch einen Zugriff auf Server der Cyberkriminellen aus Russland in Besitz des Schlüssels gelangt. Wäre er nach dem Angriff direkt an die Opfer weitergegeben worden, hätten die Kosten für die Behebung der Schäden in Millionenhöhe vermeiden können. Mit dem Einverständnis anderer US-Dienste sei der Schlüssel aber zurückgehalten worden, weil ein großer Schlag gegen REvil geplant gewesen sei. Die habe man nicht vorwarnen wollen, zitiert die Washington Post. Der große Gegenschlag sei aber nie erfolgt, weil die Cyberkriminellen plötzlich von der Bildfläche verschwanden, bevor der habe ausgeführt werden können. Einige Tage später sei der Schlüssel dann an Kaseya übergeben worden – nach etwa drei Wochen.

Bei der perfiden Attacke Anfang Juli hatte die Hackergruppe auf einen Schlag Hunderte Kunden von Kaseya angegriffen. Dafür nutzte sie eine Schwachstelle in einer Software des IT-Dienstleisters aus, um bei dessen Kunden Daten zu verschlüsseln. Für ein "universelles Entschlüsselungs-Tool" zur Rettung der Daten hatten sie umgehend 70 Millionen US-Dollar in Bitcoin verlangt. REvil ist eine der führenden Cybercrime-Banden, die sich auf das Erpressen von Firmen spezialisiert hat, bei denen sie selbst oder einer ihrer Affiliates eingebrochen sind. Mit dem Verschwinden der Gruppe wenige Tage später hatte das FBI demnach auch nichts zu tun. Über eine Verwicklung von US-Diensten war lange spekuliert worden. Inzwischen ist REvil wieder aufgetaucht und hat bereits wieder mehrere Ziele angegriffen, berichtet die US-Zeitung noch.

Als Kaseya nach dem Angriff im Juli in Besitz des Generalschlüssels gelangt ist, sei der umgehend an die Sicherheitsfirma Emsisoft gegangen. Dort habe man lediglich 10 Minuten gebraucht, um das Entschlüsselungswerkzeug zu erstellen und auch noch zu testen, zitiert die US-Zeitung deren Technikchef. Aber selbst unvorbereitet hätte das demnach auch nur ein paar Stunden gedauert. Wie viele der Opfer den Schlüssel so lange nach dem Angriff noch benutzen mussten, weiß man bei Kaseya nicht. Viele hätten die verschlüsselten Daten da längst aus Backups wiederhergestellt.

(mho)