Ransomware: Fleischproduzent JBS zahlt 11 Millionen Dollar Lösegeld

Stefan Beiersmann,
Euro-Scheine und Münzen (Bild: Shutterstock)

Die Erpresser fordern anfänglich angeblich 22,5 Millionen Dollar. Die Zahlung des Lösegelds erfolgt offenbar schon einen Tag nach dem Angriff der Darkside-Gruppe. JBS betont, dass die Entscheidung zur Lösegeldzahlung nicht leicht gefallen sei.

Die US-Tochter des brasilianischen Fleischproduzenten JBS hat ein Lösegeld von 11 Millionen Dollar in Bitcoin an die Cybererpresse bezahlt, die Dateien verschlüsselt und damit Systeme des Unternehmens in den USA und Australien lahmgelegt hatten. Das hat Andre Nogueira, CEO von JBS USA bestätigt. Obwohl das FBI von Zahlungen an Erpresser abrät, sei die Entscheidung in Absprache mit Cybersicherheitsexperten getroffen worden, um “jegliche unvorhersehbare Folgen des Angriffs zu minimieren und sicherzustellen, dass keine Daten abfließen”.

Die Entscheidung sei dem Unternehmen und auch ihm persönlich schwer gefallen, ergänzte Nogueira. “Wir waren jedoch der Meinung, dass diese Entscheidung getroffen werden musste, um ein mögliches Risiko für unsere Kunden abzuwenden.”

Der Angriff auf JBS erfolgte bereits am 31. Mai. Das Unternehmen schaltete als Reaktion die betroffenen Server ab und betonte, seine Backup-Server seien nicht betroffen. Auch sei es gelungen, alle Server mit Kundendaten abzusichern.

Wie Bleeping Computer berichtet, forderten die Hintermänner, die REvil-Ransomware-Gruppe, anfänglich ein Lösegeld von 22,5 Millionen Dollar. JBS ging demnach jedoch nicht auf die Forderung ein und beugte sich auch nicht der Drohung der Erpresser, zuvor gestohlene Daten zu veröffentlichen. JBS habe sich lediglich bereiterklärt, für die Entschlüsselung von zwei bestimmten Datenbanken zu bezahlen – alle anderen Daten würden aus Backups wiederhergestellt. Schließlich hätten sich JBS und REvil auf 11 Millionen Dollar geeinigt und das Lösegeld sei bereits am 1. Juni bezahlt worden. JBS habe daraufhin auch des Entschlüsselungstool erhalten.

Erst kurz zuvor hatte der US-Pipeline-Betreiber Colonial Pipeline für Schlagzeilen gesorgt, weil das Unternehmen als Folge eines Ransomware-Angriffs sein Pipeline-Netz abschalten musste. Als Folge konnte die US-Ostküster nur noch eingeschränkt mit Kraftstoffen wie Benzin, Diesel und Kerosin sowie Heizöl versorgt werden.

Der Vorfall rief allerdings auch Strafverfolger und sogar die US-Regierung auf den Plan. Schließlich gelang es dem FBI sogar, einen Großteil des Lösegelds zurückzuholen. Zuvor hatte ein US-Gericht die Beschlagnahmung einer Cryptogeldbörse der Darkside-Erpresser genehmigt, zu der die Ermittler einen Schlüssel besaßen.

FBI und US-Justiz behandeln Ransomware-Angriffe auf Unternehmen und Organisationen, die zur kritischen Infrastruktur gehören, inzwischen wie terroristische Anschläge. Es wird zudem erwartet, dass US-Präsident Joe Biden das Thema Cyberkriminalität bei seinem Treffen in Genf in der kommenden Woche mit dem russischen Präsidenten Wladimir Putin erörtert – es wird vermutet, dass Ransomware-Banden wie REvil und Darkside aus Russland heraus operieren.