Fleischkonzern JBS zahlt Hackern elf Millionen Dollar Lösegeld

JBS, der größte Fleischverarbeiter der Welt, bestätigte, Hackern umgerechnet 11 Millionen US-Dollar gezahlt zu haben, nachdem diese Ende Mai in die Systeme des Unternehmens eingedrungen waren. Der Fall ähnelte dem Angriff auf Colonial, den Betreiber der größten nordamerikanischen Benzin-Pipeline.

„Es war eine sehr schwierige Entscheidung, doch wir mussten sie treffen, um Risiken für die Kunden zu vermeiden“, sagte André Nogueira, CEO von JBS USA, gegenüber der Presseagentur Associated Press. Der Manager kommentierte weiter, dass ein Großteil des Betriebs bereits wieder den normalen Betrieb aufgenommen hatte, als die Zahlung erfolgte. Dennoch habe man diese Entscheidung getroffen, um unvorhersehbare Ereignisse und Datenlecks zu vermeiden.

Im Falle des Angriffs auf Pipeline-Betreiber Colonial sah die Situation etwas anders aus. Joseph Blount, der CEO des Unternehmens, erklärte gegenüber dem Wall Street Journal, dass er die Lösegeldzahlung in Höhe von 4,4 Millionen US-Dollar autorisiert habe, weil die Führungskräfte nicht absehen konnten, wie sehr der Angriff die System verletzt hatte und wie lange es somit dauern würde, den normalen Betrieb wiederherzustellen.

Das FBI führte den Angriff auf JBS Foods in den Vereinigten Staaten und Australien der Gruppe REvil/Sodinokibi zurück. Es handelt sich um den dritten großen Angriff im Jahr 2021, der russischen Hackern zugeschrieben wird. Der größte war der Angriff auf das Pipeline-Unternehmen Colonial, das ebenfalls Lösegeld im Austausch für den Entschlüsselungsschlüssel zur Wiederherstellung der Daten zahlte. Allerdings gelang es dem US-Justizministerium in einem beispiellosen Verfahren, einen Großteil des Lösegelds in Höhe mehrerer Millionen zurückzuerhalten.

JBS gab an, dass nur die Firmenstandorte in Australien und Nordamerika betroffen waren und dass Backup-Systeme es ermöglichten, den Betrieb schnellstmöglich wiederherzustellen. Weiter gab das Unternehmen an, dass es keine Beweise dafür gebe, dass Kunden-, Lieferanten- oder Mitarbeiterdaten kompromittiert worden seien.

Weitere Angriffe der REvil-Gruppe im Jahr 2021

REvil ist eine der aktivsten RaaS-Gruppen, deren Aktivität erstmals im April 2019 entdeckt wurde. Um Ransomware-Angriffe zu verbreiten, kooperiert die Gruppe mit in cyberkriminellen Foren angeheuerten Partnern. Laut Kaspersky richtet sich die Lösegeldforderung nach dem Jahresumsatz des Opfers, wobei die Verbreiter zwischen 60 und 75 % dieses Betrags erhalten. Einem Interview mit REvil zufolge erlangte die Bande im Jahr 2020 mehr als 100 Millionen Dollar.

Die Aktivitäten der Cyber-Bande haben sich 2021 intensiviert. Im März forderte die REvil-Gruppe beispielsweise Lösegeld in Höhe von 50 Millionen US-Dollar vom taiwanesischen Elektronikhersteller Acer – angeblich die höchste Summe, die jemals bei einem Ransomware-Angriff gefordert wurde. Die Cyber-Bande sagte, sie würde einen Rabatt in Höhe von 20 % gewähren, wenn die Zahlung bis zum 17. März erfolgen würde. Im Gegenzug würde sie einen Entschlüsselungscode für die kompromittierten Daten sowie einen Bericht über die Sicherheitslücken bereitstellen und die Löschung der gestohlenen Dateien veranlassen.

Auf Anfrage von BleepingComputer gab Acer an, sich nicht im Klaren darüber zu sein, ob sie einen Ransomware-Angriff erlitten hatten oder nicht. Das Unternehmen sagte nur, dass es eine „abnormale Situation identifiziert“ habe.

Im April 2021 kündigte ein REvil-Mitglied in Foren, in den Cyberkriminelle Mitglieder rekrutieren, an, dass in Kürze „der bekannteste Angriff aller Zeiten“ stattfinden würde. Wenige Tage später behauptete die Gruppe auf dem Happy Blog im Dark Web, eine Reihe angeblich vertraulicher Pläne für neue Produkte vom taiwanesischen Unternehmen Quanta Computer, das verschiedene Apple-Produkte herstellt, gestohlen zu haben. Weiter wurde behauptet, dass Quanta sich geweigert habe, das Lösegeld in Höhe von 50 Millionen Dollar zu zahlen – wie im Fall von Acer – sodass die Hacker begannen, Kunden des Unternehmens zu bedrohen. Apple äußerte sich nicht zu dem Vorfall.

Bei einem früheren Vorfall im Januar wurde die asiatische Einzelhandelskette Dairy Farm ebenfalls von der REvil-Gruppe attackiert. Diesmal forderte die Gruppe ein Lösegeld in Höhe von 30 Millionen Dollar.

Nachforschungen von Kaspersky zufolge stammen die meisten der REvil-Opfer aus den Bereichen Technik und Fertigung (30 %), dem Finanzsektor (14 %), Fach- und Verbraucherdienstleistungen (9 %), dem Rechtszweig (7 %) und der IT- und Telekommunikationsbranche (7 %).