Ein „massiver Ransomware-Angriff, der bereits im Umlauf ist“, wurde vom italienischen „Computer Security Incident Response Team der Nationalen Agentur für Cybersicherheit“ entdeckt. Techniker haben bereits „mehrere Dutzend nationale Systeme untersucht, die wahrscheinlich kompromittiert sind, und zahlreiche Personen alarmiert, deren Systeme zwar gefährdet, aber noch nicht kompromittiert sind“. Allerdings, so wird erklärt, „gibt es immer noch einige exponierte, nicht kompromittierte Systeme, deren Besitzer nicht ausfindig gemacht werden konnten. Diese werden sofort aufgefordert, ihre Systeme zu aktualisieren“.
Inhaltsverzeichnis
Die Lösegeldforderung
Die Ransomware zielt auf VMware ESXi-Server ab. Die Cybersecurity-Agentur weist darauf hin, dass „die von den Angreifern zur Verbreitung der Ransomware ausgenutzte Schwachstelle bereits in der Vergangenheit vom Hersteller behoben wurde, aber nicht jeder, der die derzeit betroffenen Systeme nutzt, hat sie behoben“. Indem sie die Schwachstelle in Betriebssystemen ausnutzen, können Hacker Ransomware-Angriffe durchführen, die „die betroffenen Systeme verschlüsseln und unbrauchbar machen, bis ein Lösegeld für den Entschlüsselungsschlüssel gezahlt wird“.
Die ersten, die auf den Angriff aufmerksam wurden, waren die Franzosen, wahrscheinlich aufgrund der großen Anzahl von Infektionen, die auf den Systemen einiger Provider registriert wurden. In der Folgezeit griff die Anschlagswelle auf andere Länder über, darunter auch Italien. Inzwischen gibt es weltweit einige tausend kompromittierte Server, von europäischen Ländern wie Frankreich, Finnland und Italien bis hin zu Nordamerika, Kanada und den Vereinigten Staaten. In Italien gibt es Dutzende, die von böswilligen Aktivitäten betroffen sind, und Analysten zufolge wird diese Zahl noch steigen.
Wie der Angriff erfolgt
Ransomware ist Malware, d. h. „bösartige Software“, die Dateien auf dem Computer des Opfers verschlüsselt, so dass sie ohne einen Entschlüsselungsschlüssel, den die Hacker nur gegen Zahlung eines Lösegelds herausgeben, nicht mehr lesbar und nutzbar sind. Bei Privatpersonen handelt es sich in der Regel um nicht unbeträchtliche Summen zwischen zehn und hundert Euro, die die Opfer in der Regel zahlen, um ihre Daten nicht zu verlieren; bei großen Organisationen, Unternehmen oder öffentlichen Einrichtungen können die Summen sehr hoch sein.
Bei Ransomware handelt es sich in den meisten Fällen um Trojaner, die über bösartige oder kompromittierte Websites, z. B. per E-Mail, verbreitet werden. Sie erscheinen in der Regel als scheinbar harmlose Anhänge (z. B. PDF-Dateien) von legitimen Absendern (institutionelle oder private Einrichtungen). Deren Echtheit verleitet dazu, den Anhang zu öffnen, dessen Inhalt an Rechnungen, Rechnungen, Zahlungsanweisungen und ähnliche Objekte erinnert: Sobald die Datei geöffnet wurde, dringt die Ransomware in den Computer oder das Telefon des Opfers ein und verschlüsselt es.