Drei Supermärkte des Luxemburger Unternehmens Cactus mussten am vergangenen Mittwoch schließen. Der Grund, wie das Unternehmen mitteilte: ein Hackerangriff. Seit Anfang dieser Woche sind alle Geschäfte wieder geöffnet. Cactus wollte sich am Montag zu dem Vorfall nicht gegenüber dem Tageblatt äußern – erklärte jedoch, die Polizei eingeschaltet zu haben.

Wie Beenu Arora, Chef des amerikanischen Cyber-Sicherheitsunternehmens Cyble, erklärt, drohen die Hacker aber offenbar damit, sensible Daten von Cactus zu veröffentlichen. „Wir haben den Vorfall am 2. Mai entdeckt“, erklärt Arora am Dienstag gegenüber dem Tageblatt. Er geht davon aus, dass die Gruppe REvil hinter dem Cactus-Hack steckt. REvil ist einer der Haupt-Akteure in der Cybercrime-Szene – und werde von seinem Unternehmen überwacht. Am Samstag hätten Mitglieder von REvil im Dark Web erste Daten von Cactus enthüllt – und dem Luxemburger Unternehmen gedroht, sie zu veröffentlichen. „Das ist der typische Modus Operandi bei Ransomware-Operationen“, sagt Arora.

Bis zu 3 Millionen Dollar Lösegeld

Die Eindringlinge gehen dabei immer nach demselben Muster vor: Erst verschaffen sie sich Zutritt zum Computersystem des Opfers, danach laden sie Daten herunter, die für eine Erpressung relevant sind. Dann wird das System verschlüsselt, sodass das betroffene Unternehmen nicht mehr selbst auf seine Dateien zugreifen kann. Im System sind dann nur noch kryptische Daten zu finden – und ein Erpresserbrief, der zur Zahlung eines bestimmten Betrags per Bitcoin oder anderer Kryptowährungen auffordert. „Das höchste Lösegeld, das REvil bis jetzt gefordert hat, lag bei 3 Millionen Dollar“, sagt Arora. Der Betrag hänge vom Opfer ab – und wie gut das verhandeln könne. Die meisten Ransomware-Gruppen würden nämlich einen „Support-Kanal“ zur Verfügung stellen, mit dem das Opfer mit den Erpressern Kontakt aufnehmen kann. 

Die REvil-Gruppe sei seit April 2019 als eine Art Hacker-Dienstleister aktiv, sagt Arora. Sprich: Die Gruppe stellt  ihr Verschlüsselungsprogramm „Partnern“ zur Verfügung und übernimmt die Zahlungsmodalitäten. Laut dem Technologie-Portal ZDNet ist die REvil-Software eine der fortschrittlichsten, die es gibt. „Die vollgestopfte Ransomware-Landschaft von heute wird von der REvil-Gang beherrscht, neben der ähnliche Ransomware-Operationen verblassen“, schreibt das Portal.

Daten des niederländischen Kommunikationsanbieters KPN zeigen, dass innerhalb von nur fünf Monaten 150.000 Computer infiziert wurden. Insgesamt sei die Software dafür gerade einmal 1.300 Mal eingesetzt worden. Bei einer Attacke seien 3.000 Computer auf einmal verschlüsselt worden, berichtet KPN. Die durchschnittliche Lösegeldforderung läge bei 260.000 Dollar. „Das zeigt, dass REvil viel größere Summen erpresst als andere Gangs“, schreibt ZDNet. Einer der Gründe dafür sei die „exzellente PR-Kampagne“ von REvil in Untergrundforen, wo die Gruppe ihre Software als auf dem neuesten Stand der Technik anpreist, die nur gegen große Firmennetzwerke eingesetzt werden darf. Der Markt dafür ist kein kleiner: Laut dem IT-Portal CIO Dive soll die REvil-Vorgängergruppe GrandCrab mit einer älteren Version des Programms innerhalb nur eines Jahres 2 Milliarden Dollar erpresst haben.

Warnung an das Unternehmen

Die Hackergruppe hat am Samstag Screenshots von Verzeichnissen der Cactus-Server veröffentlicht, sagt Security-Spezialist Beenu Arora – eine Warnung an das Unternehmen, damit es auf die Forderungen der Erpresser eingeht. Die Hacker drohen damit, „eine große Menge sensibler Daten“ zu veröffentlichen, falls Cactus nicht zahle. Ob Kundendaten darunter sind, ist aus den Bildern nicht ersichtlich. Arora geht aber davon aus, dass REvil tatsächlich Zugang zu vertraulichen Daten von den Cactus-Systemen erhalten hat.

„Sie haben bis jetzt noch nichts geleakt“, sagt er. „Entweder warten sie noch auf eine Antwort des Opfers – oder das Opfer hat bereits Kontakt aufgenommen.“ Weshalb ausgerechnet Cactus ins Visier von REvil und seinen „Partnern“ geraten ist, weiß auch Arora nicht.