Drei Supermärkte des Luxemburger Unternehmens Cactus mussten am vergangenen Mittwoch schließen. Der Grund, wie das Unternehmen mitteilte: ein Hackerangriff. Seit Anfang dieser Woche sind alle Geschäfte wieder geöffnet. Cactus wollte sich am Montag zu dem Vorfall nicht gegenüber dem Tageblatt äußern – erklärte jedoch, die Polizei eingeschaltet zu haben.
Wie Beenu Arora, Chef des amerikanischen Cyber-Sicherheitsunternehmens Cyble, erklärt, drohen die Hacker aber offenbar damit, sensible Daten von Cactus zu veröffentlichen. „Wir haben den Vorfall am 2. Mai entdeckt“, erklärt Arora am Dienstag gegenüber dem Tageblatt. Er geht davon aus, dass die Gruppe REvil hinter dem Cactus-Hack steckt. REvil ist einer der Haupt-Akteure in der Cybercrime-Szene – und werde von seinem Unternehmen überwacht. Am Samstag hätten Mitglieder von REvil im Dark Web erste Daten von Cactus enthüllt – und dem Luxemburger Unternehmen gedroht, sie zu veröffentlichen. „Das ist der typische Modus Operandi bei Ransomware-Operationen“, sagt Arora.
Bis zu 3 Millionen Dollar Lösegeld
Die Eindringlinge gehen dabei immer nach demselben Muster vor: Erst verschaffen sie sich Zutritt zum Computersystem des Opfers, danach laden sie Daten herunter, die für eine Erpressung relevant sind. Dann wird das System verschlüsselt, sodass das betroffene Unternehmen nicht mehr selbst auf seine Dateien zugreifen kann. Im System sind dann nur noch kryptische Daten zu finden – und ein Erpresserbrief, der zur Zahlung eines bestimmten Betrags per Bitcoin oder anderer Kryptowährungen auffordert. „Das höchste Lösegeld, das REvil bis jetzt gefordert hat, lag bei 3 Millionen Dollar“, sagt Arora. Der Betrag hänge vom Opfer ab – und wie gut das verhandeln könne. Die meisten Ransomware-Gruppen würden nämlich einen „Support-Kanal“ zur Verfügung stellen, mit dem das Opfer mit den Erpressern Kontakt aufnehmen kann.
Die REvil-Gruppe sei seit April 2019 als eine Art Hacker-Dienstleister aktiv, sagt Arora. Sprich: Die Gruppe stellt ihr Verschlüsselungsprogramm „Partnern“ zur Verfügung und übernimmt die Zahlungsmodalitäten. Laut dem Technologie-Portal ZDNet ist die REvil-Software eine der fortschrittlichsten, die es gibt. „Die vollgestopfte Ransomware-Landschaft von heute wird von der REvil-Gang beherrscht, neben der ähnliche Ransomware-Operationen verblassen“, schreibt das Portal.
Daten des niederländischen Kommunikationsanbieters KPN zeigen, dass innerhalb von nur fünf Monaten 150.000 Computer infiziert wurden. Insgesamt sei die Software dafür gerade einmal 1.300 Mal eingesetzt worden. Bei einer Attacke seien 3.000 Computer auf einmal verschlüsselt worden, berichtet KPN. Die durchschnittliche Lösegeldforderung läge bei 260.000 Dollar. „Das zeigt, dass REvil viel größere Summen erpresst als andere Gangs“, schreibt ZDNet. Einer der Gründe dafür sei die „exzellente PR-Kampagne“ von REvil in Untergrundforen, wo die Gruppe ihre Software als auf dem neuesten Stand der Technik anpreist, die nur gegen große Firmennetzwerke eingesetzt werden darf. Der Markt dafür ist kein kleiner: Laut dem IT-Portal CIO Dive soll die REvil-Vorgängergruppe GrandCrab mit einer älteren Version des Programms innerhalb nur eines Jahres 2 Milliarden Dollar erpresst haben.
Warnung an das Unternehmen
Die Hackergruppe hat am Samstag Screenshots von Verzeichnissen der Cactus-Server veröffentlicht, sagt Security-Spezialist Beenu Arora – eine Warnung an das Unternehmen, damit es auf die Forderungen der Erpresser eingeht. Die Hacker drohen damit, „eine große Menge sensibler Daten“ zu veröffentlichen, falls Cactus nicht zahle. Ob Kundendaten darunter sind, ist aus den Bildern nicht ersichtlich. Arora geht aber davon aus, dass REvil tatsächlich Zugang zu vertraulichen Daten von den Cactus-Systemen erhalten hat.
„Sie haben bis jetzt noch nichts geleakt“, sagt er. „Entweder warten sie noch auf eine Antwort des Opfers – oder das Opfer hat bereits Kontakt aufgenommen.“ Weshalb ausgerechnet Cactus ins Visier von REvil und seinen „Partnern“ geraten ist, weiß auch Arora nicht.
@ J.C.Kemp "Der Händler, an dessen Terminal bezahlt wird, sieht die Nummer nicht." Die Person die das Terminal bedient hat Augen im Kopf und wenn sie ihren Blick nach oben richten, da sind ein Dutzend Kameras.
@wussler: und Server mit sensiblen Daten dürfen keine direkte Netzanbindung haben, sondern gehören hinter einen Firewall.
@braun: Der Händler, an dessen Terminal bezahlt wird, sieht die Nummer nicht. Das Terminal ist mit CETREL verbunden und dort wird Kundenkonto mit Händlerkonto verknüpft um den Transfert durchzuführen.
@braun warum sollte cetrel meine Kreditkartennummer weitergeben?
@Tarzan "woher sollte cactus meine Kreditkartennummer haben?" Ich nehme an von derselben Quelle von der ihr Tankwart, ihr Pizzaiolo usw. sie haben. Außer natürlich Sie kaufen alles bar, da Sie ja auf einem Baum wohnen. ?
@darius: woher sollte cactus meine Kreditkartennummer haben?
@tarzan "ob die halbe Welt jetzt weiss, dass ich Rotweintrinker bin und Battin Gambrinus meine heimliche Geliebte ist, ist mir ehrlich gesagt sch…. egal. " Es sind gerade ein paar Leute dabei tüchtig mit Ihrer Kreditkarte einzukaufen.
Die Daten wurden nicht 'gestohlen', nur kopiert. Sie sind noch immer da, hab gerade nachgeschaut.
ob die halbe Welt jetzt weiss, dass ich Rotweintrinker bin und Battin Gambrinus meine heimliche Geliebte ist, ist mir ehrlich gesagt sch.... egal. dafür bin ich kein Facebookapostel.
Dann wees gleich ganz Welt wen Klient beim Cactus ass an wou den wunnt an Handysnummer huet
Nojee, dann wëssen mir geschwënn wen als "Stacklëtzebuerger" eng Cactuskaart am Ländchen huet :) 78,02 % ? ;)
Unverschlüsselte Daten haben auf einem Server nichts zu suchen. Da war Cactus wohl mal wieder zu sparsam.