Der IT-Sicherheitsspezialist Sophos ist in seiner globalen Studie "The State of Ransomware 2020" zu aufschlussreichen Ergebnissen gekommen. Die Erhebung unter 5.000 IT-Entscheidungsträgern aus Organisationen in 26 Ländern weltweit zeigt, dass es sich unterm Strich nicht auszahlt, Lösegeld für die Wiederherstellung von Daten zu zahlen, die während eines Ransomware-Angriffs verschlüsselt wurden.
Foto: alexkich - shutterstock.com
Immerhin 51 Prozent der befragten Organisationen haben demnach in den vergangenen zwölf Monaten einen Lösegeldangriff erlebt, bei 73 Prozent gelang es den Tätern, Daten zu verschlüsseln. Die Unternehmen, die sich weigerten zu zahlen, mussten durchschnittlich 730.000 Dollar in die Hand nehmen, um die Auswirkungen des Angriffs in den Griff zu bekommen. Hier sind Geschäftsausfälle, verlorene Aufträge, Betriebskosten etc. bereits eingerechnet. Wurde aber den Ransomware-Erpressern stattgegeben und das Lösegeld gezahlt, stiegen die Durchschnittskosten sogar auf 1,4 Millionen Dollar.
In der Sophos-Studie gibt gut ein Viertel der Befragten (27 Prozent) zu, gezahlt zu haben. Hier sind von Land zu Land große Unterschiede sichtbar: Zwei von drei indischen Unternehmen gaben den Forderungen der Cybergangstern nach, die Hälfte der schwedischen Betriebe zahlte, belgische Firmen gingen zu 32 Prozent und japanische zu 31 Prozent auf die Erpresser ein und zahlten. Hartleibig zeigten sich spanische (vier Prozent) und italienische Betriebe (fünf Prozent), auch deutsche Firmen waren nur zu zwölf Prozent bereit, die Erpresser zu bezahlen.
Nach der Ransomware - Backup statt Lösegeld
Wie Sophos feststellt, verringerte sich die Wiederherstellungsarbeit in Bezug auf Zeit und Kosten kaum durch das Zahlen von Lösegeld. Dies könne daran liegen, dass die Daten nicht so einfach mit einem einzigen Key zu rekonstruieren seien, sagt Chester Wisniewski, Principal Research Scientist bei Sophos."Häufig teilen sich die Angreifer mehrere Schlüssel. Deren Verwendung für die Daten-Rekonstruktion kann eine komplexe und zeitaufwändige Angelegenheit sein", so Wisniewski weiter. Zudem zeigte sich im Rahmen der Studie, dass mehr als die Hälfte (56 Prozent) der IT-Manager auch ohne Lösegeldzahlung in der Lage war, die Daten aus Backups wiederherzustellen.
Am stärksten betroffen von Angriffen waren Medien-, Freizeit- und Unterhaltungsunternehmen im privaten Sektor, hier berichteten 60 Prozent der Befragten von Angriffen. Haupteinfallstor waren bösartige Links und File-Downloads, über die die Erpressungssoftware heruntergeladen wurde. Weltweit lag dieser Wert bei 29 Prozent, in Deutschland sogar bei 41 Prozent. Per E-Mail wurde die Ransomware hierzulande in 22 Prozent der Fälle durch schadhafte Anhänge (ein Spitzenwert im internationalen Vergleich) in die Firmen geschleust - E-Mails sind in Deutschland also das Haupteinfallstor für diese Schadware. Gut steht Deutschland in einem anderen Vergleich da: Remote-Attacken auf Server fielen nur 13 Prozent der Unternehmen zum Opfer, international lag dieser Wert bei 21 Prozent.
Ransomware "beißt" DAX-Konzern
In Deutschland haben in den letzten Wochen diverse Ransomware-Angriffe für Schlagzeilen gesorgt. Prominentes Opfer war der DAX-Konzern Fresenius, der eine Vielzahl von Kliniken betreibt und verschiedene medizintechnische Produkte und Dienstleistungen anbietet. Das Unternehmen zeigte sich, wie in solchen Fällen üblich, eher wortkarg. Die Ransomware gefährde nicht die Versorgung von Patienten, führe aber zu vereinzelten Produktionseinschränkungen hieß es.
Die Angreifer bedienten sich einer Analyse von Forescout-Manager Chris Sherry zufolge der relativ neuen Ransomware "Snake" (auch "Ekans" genannt), die speziell auf industrielle Steuerungssysteme und deren Soft- und Hardware abziele. Solche Systeme kämen ansonsten in allen Bereichen von Ölraffinerien bis hin zu Stromnetzen und Produktionsanlagen zum Einsatz. Die Ransomware sei darauf ausgelegt, 64 verschiedene Softwareprozesse auf den Computern der Opfer zu beenden, darunter viele, die spezifisch für industrielle Steuerungssysteme sind. Die Schadsoftware verschlüssele dann die Daten, mit denen diese Steuerungssystem-Programme interagierten.
Snake/Ekans gilt laut Sherry als Nachfolger der als MegaCortex bekannten Schadsoftware, die dieselben prozessstoppenden Eigenschaften innerhalb von industriellen Steuerungssystemen habe. MegaCortex könne jedoch auch Hunderte anderer Prozesse beenden, weshalb seine auf industrielle Steuerungssysteme ausgerichteten Funktionen weitgehend übersehen worden seien.
Sherry empfiehlt unter anderem ein kurz getaktetes Patch Management und die Sicherung kritischer Assets. Anwender sollten Backups routinemäßig auf Datenintegrität testen, um sicherzustellen, dass intakte Daten wiederhergestellt werden könnten. Wichtig sei zudem eine Minimierung der Angriffsvektoren: Wenn alle Systeme miteinander verbunden seien, gebe es mehrere Endpunkte, über die sich ein Hacker leicht Zugang verschaffen könne. Würden die Systeme aber richtig segmentiert, reduziere sich die Anzahl an Endpunkten erheblich. Sie könnten leichter vor Bedrohungen geschützt werden.
Empfohlen wird auch die Überwachung des Datenverkehrs, wobei der OT-Netzwerkverkehr auf Protokolle zu beschränken sei, die von kritischen Infrastrukturen verwendet werden. So reduzierten sich verlorene Pakete und ungeplante Ausfallzeiten. IT-Protokolle neigten indes dazu, eine höhere Bandbreite und mehr Ressourcen zu verbrauchen, was die Kommunikation zwischen kritischen Infrastruktursystemen unterbrechen könne.
Erpressersoftware legt Uni-Verwaltung lahm
Opfer eines Ransomware-Angriffs wurde am 7. Mai auch die Ruhr-Universität Bochum (RUB). Betroffen ist vor allem die Universitätsverwaltung, die Suche nach Angreifern und die Eindämmung der Schäden ist in vollem Gang. Die Uni lässt die Bochumer IT-Firma G-Data zusammen mit eigenen Spezialisten ermitteln. Die RUB teilt mit: "Die für digitale Lehre im Sommersemester 2020 notwendige Lernplattform Moodle ist ebenso wenig betroffen wie alle weiteren Instrumente wie beispielsweise Sciebo, Zoom oder RUB-Cast. Diese Systeme laufen über nicht von der Attacke betroffene RUB-Server oder auf externen Servern. Die gute Nachricht also lautet: Die digitale Lehre an der RUB kann reibungslos fortgesetzt werden."
Betroffen seien administrative Exchange- und Sharepoint-Server, weshalb der Mailverkehr in der RUB-Verwaltung gestört sei. Die Mitarbeiter stellten derzeit auf andere Dienste um, sofern möglich. Betroffene Server seien heruntergefahren worden und würden analysiert. Vom Ergebnis sei abhängig, ob und wann die Server wieder hochgefahren werden und der normale Arbeitsbetrieb in der Verwaltung wieder aufgenommen werden könne. Parallel zur Analyse der Server laufe die Suche nach den Tätern.
- Notfall- und Rettungsdienste
Behörden warnen vor Cyberattacken auf Krankenhäuser, Feuerwachen und sonstige Notfall- und Rettungsdienste. Die Funktion der IT-Systeme entscheidet in diesen Fällen unter Umständen über Leben und Tod. Das macht sie zu vielversprechenden Zielen für Ransomware-Kampagnen. - Der Durchschnittsuser
Nicht nur auf dem Feld der IT-Sicherheit gilt der Mensch als schwächstes Glied. Das liegt auch daran, dass Durchschnitts-User sowohl die ergiebigsten, als auch die am leichtesten zu manipulierenden Quellen für Hacker darstellen. Das betrifft ganz besonders diejenigen, die sich leicht unter Druck setzen lassen und/oder technisch nicht allzu bewandert sind. Zum Ransomware-Ziel wird der normale User, weil so gut wie Jeder in Zeiten der Digitalisierung persönliche und/oder Unternehmensdaten auf einem oder mehreren seiner Devices vorrätig hält. - Unternehmen
Egal ob groß oder klein: So gut wie jedes Unternehmen muss sich heutzutage auf seine IT-Systeme verlassen, um die täglich anfallenden Geschäftsprozesse abwickeln zu können. Diese Systeme enthalten in der Regel wertvolle Informationen, weswegen Unternehmen auch die ideale Zielscheibe für Ransomware darstellen. Dazu kommt, dass sich viele Unternehmen Ausfallzeiten schlicht nicht leisten können - es ist also sehr wahrscheinlich, dass sie deshalb auf Lösegeldforderungen eingehen. - Strafverfolgungs- und Regierungsinstitutionen
Strafverfolgungsbehörden, Geheimdienste und sonstige Regierungsinstitutionen werden von kriminellen Hackern vor allem aus Gründen der Rache ins Visier genommen - schließlich sind sie es, die die Cyberkriminellen verfolgen. Zwar verfügen große Organisationen wie BND oder FBI über die Ressourcen, standesgemäße Abwehrmechanismen einzurichten, bei kleineren Behörden - zum Beispiel Polizeiwachen oder lokale Verwaltungsbehörden - sieht das anders aus. Entsprechend sind die Ransomware-Attacken auf solche Organisationen gestiegen. - Gesundheitswesen
Anfang 2016 sorgten die Ransomware-Angriffe auf zwei Krankenhäuser in Nordrhein-Westfalen für Schlagzeilen. Die Folgen der Cyberattacke waren gravierend: Die IT-Systeme mussten komplett abgeschaltet werden, der Offline-Modus zwang die Krankenhäuser in die prädigitale Ära und sorgte dafür, dass große OPs verschoben werden mussten und Notfallpatienten in anderen Kliniken aufgenommen werden mussten. - Bildungseinrichtungen
Auch Schulen und Universitäten geraten verstärkt ins Visier der Ransomware-Hacker. Schließlich verfügen sie in aller Regel über ausreichend Ressourcen, um auf Lösegeldforderungen einzugehen - insbesondere in den USA. Im Februar 2016 wurden mehrere Schulen in den Vereinigten Staaten von Crypto-Ransomware heimgesucht. Eine Schule in South Carolina bezahlte rund 8500 Dollar, um wieder an die Daten ihrer 25 Server zu kommen. - Religiöse Institutionen
Die Netzwerke von religiösen Institutionen werden für erpresserische Hacker zunehmend attraktiv. Schließlich ist deren Personal in der Regel nicht im Umgang mit Cyberbedrohungen wie Phishing-E-Mails geschult. Ende Februar 2016 waren zwei Kirchengemeinden in den USA betroffen - eine vom Schlagzeilen-trächtigen Crypto-Trojaner Locky. Die Kirchengemeinde bezahlte eine Lösegeld von 570 Dollar, um wieder an ihre Daten zu kommen. - Finanzwesen
Der Banken- und Finanzsektor wird regelmäßig zum Ziel von Ransomware-Hackern und Botnets - schließlich ist auch hier in der Regel einiges zu holen. Die Cyberkriminellen, die hinter der Ransomware TeslaCrypt stecken, initiierten Mitte Februar 2016 eine Spam-Mail-Kampagne. Hinter einem infizierten Anhang versteckte sich ein JavaScript-Downloader, der die TeslaCrypt-Malware auf das System der Opfer schleuste.
Erst Ransomware, dann Kundendaten im Darknet
Auch die Technischen Werke Ludwigshafen (TWL) wurden Opfer eines Ransomware-Angriffs. Man sei von der Hackern kontaktiert und um Lösegeld erpresst worden, deren Zahlung man aber ablehne. Die Hacker erbeuteten 500 GB an Daten, darunter Kunden- sowie Mitarbeiter- und Geschäftsdaten. Nachdem sich der Energieversorger nicht zahlungsbereit zeigte, veröffentlichten die Gangster etliche Datensätze im Darknet.
Laut TWL erfolgte der Erstzugriff der Kriminellen bereits Mitte Februar über eine E-Mail-Anlage, deren Infektion von den technischen Abwehrsystemen nicht erkannt worden sei. In den darauffolgenden Wochen sei es den Tätern gelungen, sich unerkannt im Netzwerk von TWL auszubreiten. Nach der Entdeckung des Angriffs habe TWL sofort das zuständige Dezernat der Kriminalpolizei, das Dezernat Cybercrime des Landeskriminalamtes (LKA) Rheinland-Pfalz und das Bundesamt für Sicherheit in der Informationstechnik (BSI) eingeschaltet.
Die Ermittlungen dauern noch an. Ein externes Unternehmen für IT-Sicherheit wurde mit der forensischen Untersuchung und Abwehr des Vorfalls beauftragt. Eine Verschlüsselung der Systeme sowie ein Zugriff auf die Prozessleittechnik habe erfolgreich verhindert werden können, weshalb die Versorgung der Stadt Ludwigshafen nicht gefährdet sei.
Wie der Versorger berichtet, forderten die Täter am 30. April 2020 ein Lösegeld im zweistelligen Millionenbereich. Nachdem die Forderungen abgelehnt wurde, veröffentlichten die Täter die erbeuteten Daten im Darknet. TWL betont, es sei für den Versorger selbstverständlich, keine Geschäfte mit Kriminellen zu machen und nicht auf Lösegeldforderungen einzugehen. Erfahrungsgemäß führe auch eine Zahlung nicht zu einem Stopp der Datenverbreitung im Internet.
Für TWL wird die Situation auch deshalb immer unangenehmer, weil die Erpresser am 11. Mai 2020 damit begonnen haben, Kunden per E-Mail anzuschreiben und der TWL mangelnde Kooperation und Fehlverhalten vorzuwerfen, um den Druck auf das Unternehmen weiter zu erhöhen.
Zu den im Darknet veröffentlichten Daten zählen personenbezogene Daten wie Name, Kontaktdaten, Angaben zum gewählten Tarif und, sofern der TWL eine Einzugsermächtigung erteilt wurde, auch die Bankverbindung. Das Unternehmen geht davon aus, dass alle seine Kunden und Geschäftspartner betroffen sind. Es warnt seine Kunden davor, dass mit den erbeuteten Daten nun kriminelle Handlungen wie Identitätsdiebstahl, Phishing-Attacken oder der Versand von Viren und Trojanern per E-Mail stattfinden könnten.
Ransomware weltweit im Aufwind
Auf internationaler Ebene kamen in jüngster Zeit die Konzerne Pitney Bowes, Cognizant, Bouygues Construction und die US-Stadt Pensacola in den zweifelhaften Genuss eines Ransomware-Angriffs. In einigen Fällen kam dabei die Schadsoftware "Maze" zum Einsatz, mit der sich unter anderem die IT-Sicherheitsanbieter FireEye, Palo Alto Networks und Crowdstrike ausführlich beschäftigten.