Ransomware: Lösegeld zu zahlen lohnt sich nicht
Ransomware-Attacken nehmen derzeit überhand. Fresenius, die RuhrUniversität Bochum und der Versorger TWL gehören zu den prominenten Opfern. Eine Studie von Sophos zeigt: Es rechnet sich nicht, die Erpresser zu bezahlen.
eine komplexe und zeitaufwendige Angelegenheit sein“, führt Wisniewski aus. Zudem zeigte sich im Rahmen der Studie, dass mehr als die Hälfte (56 Prozent) der IT-Manager auch ohne Lösegeldzahlung in der Lage waren, die Daten aus Backups wiederherzustellen.
Am stärksten betroffen von Angriffen waren Medien-, Freizeit- und Unterhaltungsunternehmen im privaten Sektor, hier berichten 60 Prozent der Befragten von Angriffen. Haupteinfallstor waren bösartige Links und File-Downloads, über die Mitarbeiter Erpressungssoftware herunterluden. Weltweit lag dieser Wert bei 29 Prozent, in Deutschland sogar bei 41 Prozent. Per E-Mail wurde die Ransomware hierzulande in 22 Prozent der Fälle durch schadhafte Anhänge (ein Spitzenwert im internationalen Vergleich) in die Firmen geschleust – E-Mails sind in Deutschland also das Haupteinfallstor für diese Schadware. Gut steht Deutschland in einem anderen Vergleich da: Nur 13 Prozent der Unternehmen fielen Remote-Attacken auf Server zum Opfer, international lag dieser Wert bei 21 Prozent.
Fresenius zählt zum Kreis der Opfer
In Deutschland haben in den letzten Wochen diverse Ransomware-Angriffe für Schlagzeilen gesorgt. Prominentes Opfer war der DAX-Konzern Fresenius, der eine Vielzahl von Kliniken betreibt und verschiedene medizintechnische Produkte und Dienstleistungen anbietet. Das Unternehmen zeigte sich, wie in solchen Fällen nicht ungewöhnlich, eher wortkarg. Die Ransomware gefährde nicht die Versorgung von Patienten, führe aber zu vereinzelten Produktionseinschränkungen hieß es.
Die Angreifer bedienten sich einer Analyse von Forescout-Manager Chris Sherry zufolge der relativ neuen Ransomware „Snake“(auch „Ekans“genannt), die eigentlich eher auf industrielle Steuerungssysteme und deren Softund Hardware abziele. Solche Systeme kämen ansonsten in allen Bereichen von Ölraffinerien bis hin zu Stromnetzen und Produktionsanlagen zum Einsatz. Die Ransomware sei darauf ausgelegt, 64 verschiedene Softwareprozesse auf den Computern der Opfer zu beenden, darunter viele, die spezifisch für industrielle Steuerungssysteme sind. Die Schadsoftware verschlüssele dann die Daten, mit denen diese Steuerungssystem-Programme interagierten.
Snake/Ekans gilt laut Sherry als Nachfolger der als „MegaCortex“bekannten Schadsoftware, die dieselben prozessstoppenden Eigenschaften innerhalb von industriellen Steuerungssystemen habe. MegaCortex könne jedoch auch Hunderte anderer Prozesse beenden, weshalb seine auf industrielle Steuerungssysteme ausgerichteten Funktionen weitgehend übersehen worden seien.
Sherry empfiehlt unter anderem ein kurz getaktetes Patch Management und die Sicherung kritischer Assets. Anwender sollten Backups routinemäßig auf Datenintegrität testen, um sicherzustellen, dass intakte Daten wiederhergestellt werden könnten. Wichtig sei zudem eine Minimierung der Angriffsvektoren: Wenn alle Systeme miteinander verbunden seien, gebe es mehrere Endpunkte, über die sich ein Hacker leicht Zugang verschaffen könne. Würden die Systeme aber richtig segmentiert, reduziere sich die Anzahl an Endpunkten erheblich. Sie könnten leichter vor Bedrohungen geschützt werden.
Empfohlen wird auch die Überwachung des Datenverkehrs, wobei der OT-Netzwerkverkehr auf Protokolle zu beschränken sei, die von kritischen Infrastrukturen verwendet werden. So reduzierten sich verlorene Pakete und ungeplante Ausfallzeiten. IT-Protokolle neigten indes dazu, eine höhere Bandbreite und mehr Ressourcen zu verbrauchen, was die Kommunikation zwischen kritischen Infrastruktursystemen unterbrechen könne.
Die auf Dialyse spezialisierte Fresenius-Tochter Fresenius Medical Care bestätigte, dass ihr
bei dem Angriff Patientendaten abhandengekommen sind. Patienten in Serbien wurden demnach über die „illegale Veröffentlichung“persönlicher Daten informiert. Nach Informationen von „Bleeping Computer“sind bislang zwar nur 200 Patienten betroffen, aber die Erpresser sollen mit der Publikation weiterer Informationen drohen. Besonders unangenehm: Neben Namen und Kontaktdaten sollen auch Informationen über medizinische Befunde und Behandlungsvorschläge der Ärzte veröffentlicht worden sein.
Erpressersoftware legt Uni-Verwaltung lahm
Opfer eines Ransomware-Angriffs wurde am 7. Mai auch die Ruhr-Universität Bochum (RUB). Betroffen ist vor allem die Universitätsverwaltung, die Suche nach Angreifern und die Eindämmung der Schäden ist in vollem Gang. Die Uni lässt die Bochumer IT-Firma G-Data zusammen mit eigenen Spezialisten ermitteln. Die RUB teilt mit: „Die für digitale Lehre im Sommersemester 2020 notwendige Lernplattform Moodle ist ebenso wenig betroffen wie alle weiteren Instrumente wie beispielsweise Sciebo, Zoom oder RUB-Cast. Diese Systeme laufen über nicht von der Attacke betroffene RUB-Server oder auf externen Servern. Die gute Nachricht also lautet: Die digitale Lehre an der RUB kann reibungslos fortgesetzt werden.“
Betroffen seien administrative Exchange- und Sharepoint-Server, weshalb der Mailverkehr in der RUB-Verwaltung gestört sei. Die Mitarbeiter stellten derzeit auf andere Dienste um, sofern möglich. Betroffene Server seien heruntergefahren worden und würden analysiert. Vom Ergebnis sei abhängig, ob und wann die Server wieder hochgefahren werden und der normale Arbeitsbetrieb in der Verwaltung wieder aufgenommen werden könne. Parallel zur Analyse der Server laufe die Suche nach den Tätern.
Kundendaten im Darknet
Auch die Technischen Werke Ludwigshafen (TWL) wurden Opfer eines Ransomware-Angriffs. Man sei von der Hackern kontaktiert und um Lösegeld erpresst worden, deren Zahlung man aber ablehne. Die Hacker erbeuteten 500 GB an Daten, darunter Kunden- sowie Mitarbeiter- und Geschäftsdaten. Nachdem sich der Energieversorger nicht zahlungsbereit zeigte, veröffentlichten die Gangster etliche Datensätze im Darknet.
Laut TWL erfolgte der Erstzugriff der Kriminellen bereits Mitte Februar über eine E-MailAnlage, deren Infektion von den technischen Abwehrsystemen nicht erkannt worden sei. In den darauffolgenden Wochen sei es den Tätern gelungen, sich unerkannt im Netzwerk von TWL auszubreiten. Nach der Entdeckung des Angriffs habe man sofort das zuständige Dezernat der Kriminalpolizei, das Dezernat Cybercrime des Landeskriminalamtes (LKA) Rheinland-Pfalz und das Bundesamt für Sicherheit in der Informationstechnik (BSI) eingeschaltet. Die Ermittlungen dauern noch an.