Ransomware: Supermarktkette musste fast alle Filialen schließen
Die Supermarktkette Coop ist in Schweden Opfer eines Cyberangriffs geworden. Die Kette empfahl ihren Filialen laut Berichten des schwedischen Senders SVT, die Geschäfte am Samstag im ganzen Land nicht zu öffnen.
Die Vorfälle stehen in Zusammenhang mit einer größeren, internationalen Ransomware-Attacke auf ein amerikanisches Softwareunternehmen. Neben anderen Unternehmen war auch das staatliche Bahnunternehmen SJ betroffen. Fahrgäst*innen konnten dadurch im Bistro nicht mit Karte zahlen.
Am Freitagabend habe es einen Angriff auf einen Dienstleister von Coop gegeben, der sowohl die normalen Kassensysteme als auch Selbstbedienungskassen der Supermärkte betraf, berichtete SVT. Man habe die ganze Nacht an den Problemen gearbeitet, sie jedoch noch nicht lösen können, sagte eine Sprecherin dem Sender.
Über den Samstag hinweg machten in einzelnen Regionen einige Filialen wieder auf, manche davon nutzen andere Bezahlsysteme. Für Sonntag wurde mit weitergehenden Öffnungen gerechnet.
Attacke auf Kaseya
Hintergrund ist eine Schwachstelle beim IT-Dienstleister Kaseya, die im Zuge eines Angriffs ausgenutzt wurde. Die IT-Sicherheitsfirma Huntress sprach von mehr als 1.000 Unternehmen, bei denen Systeme verschlüsselt worden seien.
US-Präsident Joe Biden ordnete eine Untersuchung des Angriffs durch die Geheimdienste an. „Der erste Eindruck war, dass die russische Regierung nicht dahintersteckt - aber wir sind uns noch nicht sicher“, sagte Biden nach Fragen von Reporter*innen am Samstag. IT-Sicherheitsexpert*innen hatten die Attacke anhand des Software-Codes der Hackergruppe REvil zugeordnet, die in Russland verortet wird.
REvil steckte vor wenigen Wochen bereits hinter dem Angriff auf den weltgrößten Fleischkonzern JBS, der als Folge für mehrere Tage Werke unter anderem in den USA schließen musste. Biden hatte den russischen Präsidenten Wladimir Putin bei deren Treffen in Genf im Juni aufgefordert, auch keine Aktivitäten von Hackergruppen zu tolerieren und mit Konsequenzen bei weiteren Attacken gedroht.
Kaseya teilte am Wochenende mit, nach bisherigen Erkenntnissen seien weniger als 40 Firmenkunden betroffen. Allerdings waren darunter auch wiederum Dienstleister, die ihrerseits mehrere Unternehmenskunden haben.
Schaden hätte größer sein können
Der Schaden hätte auf jeden Fall weit größer sein können: Kaseya hat insgesamt mehr als 36.000 Firmenkunden. Mit Hilfe des Kaseya-Programms VSA verwalten Unternehmen Software-Updates in Computer-Systemen. Ein Eindringen in die VSA-Software kann den Angreifer*innen also viele Türen auf einmal öffnen. Kaseya stoppte am Freitag seinen Cloud-Service und warnte die Firmen, sie sollten sofort auch ihre lokal laufenden VSA-Systeme ausschalten.
Kaseya sei zuversichtlich, die Schwachstelle gefunden zu haben, wolle sie demnächst schließen und die Systeme nach einem Sicherheitstest wieder hochfahren, hieß es.