Ein Experte der Cybersicherheitsfirma Recorded Future erklärte, der Eintrag scheine echt zu sein. Die Russland nahestehende Gruppe betreibe den Blog seit letztem Jahr. Versuche von Reuters, die Gruppe dazu zu befragen, waren zunächst nicht erfolgreich. Auch zwei deutsche IT-Anbieter sind von dem Hackerangriff direkt betroffen.

Bei einem der größten erpresserischen Hackerangriffe waren seit Freitagnachmittag weltweit möglicherweise Tausende Firmen lahmgelegt worden. Die Hackergruppe "REvil" steht im Verdacht, das Desktop-Management-Tool VSA von Kaseya gekapert und ein schadhaftes Update aufgespielt zu haben, das Kunden des US-Tech-Management-Anbieters infiziert. Dabei wurden ganze Abrechnungssysteme durch die Verschlüsselung der Hacker blockiert. Ein Kaseya-Vertreter sagte, das Unternehmen sei sich der Lösegeldforderung bewusst. Weitere Angaben wurden zunächst nicht gemacht.

Der Angriff hat Auswirkungen bis nach Europa. So musste eine schwedische Supermarktkette Hunderte Filialen schließen, weil deren Kassensysteme offline waren. Nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sind auch Tausende Computer in Deutschland betroffen. Am Montag teilte das BSI mit, es habe sich ein zweiter deutscher IT-Dienstleister gemeldet. Man versuche derzeit noch zu klären, wie viele Kunden betroffen sein könnten. Es gebe weitere Meldungen aus dem Cyberabwehrzentrum und dem Bundeskriminalamt. "Die Lage ist weiter dynamisch", sagte ein Sprecher. Firmen aus dem Bereich der Kritischen Infrastruktur (Kritis) in Deutschland wie der Energieversorgung hätten sich nicht gemeldet. Für diese gibt es eine Meldepflicht bei Cyberangriffen.

Vergangenen Monat hatte REvil den brasilianischen Fleischkonzern JBS lahmgelegt. Das Unternehmen zahlte nach eigenen Angaben ein Lösegeld von elf Millionen Dollar. Allan Liska von Recorded Future ist der Überzeugung, dass sich REvil dieses Mal verhoben habe. "Trotz all ihrer großspurigen Aussagen auf ihrem Blog, denke ich, das ist außer Kontrolle geraten."

rtr