Ransomware

Lösegeld ist keine Lösung

15.05.2020
Von 
Heinrich Vaske ist Editorial Director a.D. von COMPUTERWOCHE, CIO und CSO.
Ransomware-Attacken nehmen momentan überhand. Fresenius, die Ruhr-Universität Bochum und der Ludwigshafener Versorger TWL gehören zu den aktuellen Opfern. Eine Studie von Sophos zeigt: Es lohnt sich nicht, die Erpresser zu bezahlen.

Der IT-Sicherheitsspezialist Sophos ist in seiner globalen Studie "The State of Ransomware 2020" zu aufschlussreichen Ergebnissen gekommen. Die Erhebung unter 5.000 IT-Entscheidungsträgern aus Organisationen in 26 Ländern weltweit zeigt, dass es sich unterm Strich nicht auszahlt, Lösegeld für die Wiederherstellung von Daten zu zahlen, die während eines Ransomware-Angriffs verschlüsselt wurden.

Ransomware-Attacken gehören auch 2020 noch nicht zum alten Eisen - im Gegenteil. Eine Studie von Sophos zeigt jedoch: Lösegeld bezahlen ist auch keine Lösung.
Ransomware-Attacken gehören auch 2020 noch nicht zum alten Eisen - im Gegenteil. Eine Studie von Sophos zeigt jedoch: Lösegeld bezahlen ist auch keine Lösung.
Foto: alexkich - shutterstock.com

Immerhin 51 Prozent der befragten Organisationen haben demnach in den vergangenen zwölf Monaten einen Lösegeldangriff erlebt, bei 73 Prozent gelang es den Tätern, Daten zu verschlüsseln. Die Unternehmen, die sich weigerten zu zahlen, mussten durchschnittlich 730.000 Dollar in die Hand nehmen, um die Auswirkungen des Angriffs in den Griff zu bekommen. Hier sind Geschäftsausfälle, verlorene Aufträge, Betriebskosten etc. bereits eingerechnet. Wurde aber den Ransomware-Erpressern stattgegeben und das Lösegeld gezahlt, stiegen die Durchschnittskosten sogar auf 1,4 Millionen Dollar.

In der Sophos-Studie gibt gut ein Viertel der Befragten (27 Prozent) zu, gezahlt zu haben. Hier sind von Land zu Land große Unterschiede sichtbar: Zwei von drei indischen Unternehmen gaben den Forderungen der Cybergangstern nach, die Hälfte der schwedischen Betriebe zahlte, belgische Firmen gingen zu 32 Prozent und japanische zu 31 Prozent auf die Erpresser ein und zahlten. Hartleibig zeigten sich spanische (vier Prozent) und italienische Betriebe (fünf Prozent), auch deutsche Firmen waren nur zu zwölf Prozent bereit, die Erpresser zu bezahlen.

Nach der Ransomware - Backup statt Lösegeld

Wie Sophos feststellt, verringerte sich die Wiederherstellungsarbeit in Bezug auf Zeit und Kosten kaum durch das Zahlen von Lösegeld. Dies könne daran liegen, dass die Daten nicht so einfach mit einem einzigen Key zu rekonstruieren seien, sagt Chester Wisniewski, Principal Research Scientist bei Sophos."Häufig teilen sich die Angreifer mehrere Schlüssel. Deren Verwendung für die Daten-Rekonstruktion kann eine komplexe und zeitaufwändige Angelegenheit sein", so Wisniewski weiter. Zudem zeigte sich im Rahmen der Studie, dass mehr als die Hälfte (56 Prozent) der IT-Manager auch ohne Lösegeldzahlung in der Lage war, die Daten aus Backups wiederherzustellen.

Am stärksten betroffen von Angriffen waren Medien-, Freizeit- und Unterhaltungsunternehmen im privaten Sektor, hier berichteten 60 Prozent der Befragten von Angriffen. Haupteinfallstor waren bösartige Links und File-Downloads, über die die Erpressungssoftware heruntergeladen wurde. Weltweit lag dieser Wert bei 29 Prozent, in Deutschland sogar bei 41 Prozent. Per E-Mail wurde die Ransomware hierzulande in 22 Prozent der Fälle durch schadhafte Anhänge (ein Spitzenwert im internationalen Vergleich) in die Firmen geschleust - E-Mails sind in Deutschland also das Haupteinfallstor für diese Schadware. Gut steht Deutschland in einem anderen Vergleich da: Remote-Attacken auf Server fielen nur 13 Prozent der Unternehmen zum Opfer, international lag dieser Wert bei 21 Prozent.

Ransomware "beißt" DAX-Konzern

In Deutschland haben in den letzten Wochen diverse Ransomware-Angriffe für Schlagzeilen gesorgt. Prominentes Opfer war der DAX-Konzern Fresenius, der eine Vielzahl von Kliniken betreibt und verschiedene medizintechnische Produkte und Dienstleistungen anbietet. Das Unternehmen zeigte sich, wie in solchen Fällen üblich, eher wortkarg. Die Ransomware gefährde nicht die Versorgung von Patienten, führe aber zu vereinzelten Produktionseinschränkungen hieß es.

Die Angreifer bedienten sich einer Analyse von Forescout-Manager Chris Sherry zufolge der relativ neuen Ransomware "Snake" (auch "Ekans" genannt), die speziell auf industrielle Steuerungssysteme und deren Soft- und Hardware abziele. Solche Systeme kämen ansonsten in allen Bereichen von Ölraffinerien bis hin zu Stromnetzen und Produktionsanlagen zum Einsatz. Die Ransomware sei darauf ausgelegt, 64 verschiedene Softwareprozesse auf den Computern der Opfer zu beenden, darunter viele, die spezifisch für industrielle Steuerungssysteme sind. Die Schadsoftware verschlüssele dann die Daten, mit denen diese Steuerungssystem-Programme interagierten.

Snake/Ekans gilt laut Sherry als Nachfolger der als MegaCortex bekannten Schadsoftware, die dieselben prozessstoppenden Eigenschaften innerhalb von industriellen Steuerungssystemen habe. MegaCortex könne jedoch auch Hunderte anderer Prozesse beenden, weshalb seine auf industrielle Steuerungssysteme ausgerichteten Funktionen weitgehend übersehen worden seien.

Sherry empfiehlt unter anderem ein kurz getaktetes Patch Management und die Sicherung kritischer Assets. Anwender sollten Backups routinemäßig auf Datenintegrität testen, um sicherzustellen, dass intakte Daten wiederhergestellt werden könnten. Wichtig sei zudem eine Minimierung der Angriffsvektoren: Wenn alle Systeme miteinander verbunden seien, gebe es mehrere Endpunkte, über die sich ein Hacker leicht Zugang verschaffen könne. Würden die Systeme aber richtig segmentiert, reduziere sich die Anzahl an Endpunkten erheblich. Sie könnten leichter vor Bedrohungen geschützt werden.

Empfohlen wird auch die Überwachung des Datenverkehrs, wobei der OT-Netzwerkverkehr auf Protokolle zu beschränken sei, die von kritischen Infrastrukturen verwendet werden. So reduzierten sich verlorene Pakete und ungeplante Ausfallzeiten. IT-Protokolle neigten indes dazu, eine höhere Bandbreite und mehr Ressourcen zu verbrauchen, was die Kommunikation zwischen kritischen Infrastruktursystemen unterbrechen könne.

Erpressersoftware legt Uni-Verwaltung lahm

Opfer eines Ransomware-Angriffs wurde am 7. Mai auch die Ruhr-Universität Bochum (RUB). Betroffen ist vor allem die Universitätsverwaltung, die Suche nach Angreifern und die Eindämmung der Schäden ist in vollem Gang. Die Uni lässt die Bochumer IT-Firma G-Data zusammen mit eigenen Spezialisten ermitteln. Die RUB teilt mit: "Die für digitale Lehre im Sommersemester 2020 notwendige Lernplattform Moodle ist ebenso wenig betroffen wie alle weiteren Instrumente wie beispielsweise Sciebo, Zoom oder RUB-Cast. Diese Systeme laufen über nicht von der Attacke betroffene RUB-Server oder auf externen Servern. Die gute Nachricht also lautet: Die digitale Lehre an der RUB kann reibungslos fortgesetzt werden."

Betroffen seien administrative Exchange- und Sharepoint-Server, weshalb der Mailverkehr in der RUB-Verwaltung gestört sei. Die Mitarbeiter stellten derzeit auf andere Dienste um, sofern möglich. Betroffene Server seien heruntergefahren worden und würden analysiert. Vom Ergebnis sei abhängig, ob und wann die Server wieder hochgefahren werden und der normale Arbeitsbetrieb in der Verwaltung wieder aufgenommen werden könne. Parallel zur Analyse der Server laufe die Suche nach den Tätern.

Erst Ransomware, dann Kundendaten im Darknet

Auch die Technischen Werke Ludwigshafen (TWL) wurden Opfer eines Ransomware-Angriffs. Man sei von der Hackern kontaktiert und um Lösegeld erpresst worden, deren Zahlung man aber ablehne. Die Hacker erbeuteten 500 GB an Daten, darunter Kunden- sowie Mitarbeiter- und Geschäftsdaten. Nachdem sich der Energieversorger nicht zahlungsbereit zeigte, veröffentlichten die Gangster etliche Datensätze im Darknet.

Laut TWL erfolgte der Erstzugriff der Kriminellen bereits Mitte Februar über eine E-Mail-Anlage, deren Infektion von den technischen Abwehrsystemen nicht erkannt worden sei. In den darauffolgenden Wochen sei es den Tätern gelungen, sich unerkannt im Netzwerk von TWL auszubreiten. Nach der Entdeckung des Angriffs habe TWL sofort das zuständige Dezernat der Kriminalpolizei, das Dezernat Cybercrime des Landeskriminalamtes (LKA) Rheinland-Pfalz und das Bundesamt für Sicherheit in der Informationstechnik (BSI) eingeschaltet.

Die Ermittlungen dauern noch an. Ein externes Unternehmen für IT-Sicherheit wurde mit der forensischen Untersuchung und Abwehr des Vorfalls beauftragt. Eine Verschlüsselung der Systeme sowie ein Zugriff auf die Prozessleittechnik habe erfolgreich verhindert werden können, weshalb die Versorgung der Stadt Ludwigshafen nicht gefährdet sei.

Wie der Versorger berichtet, forderten die Täter am 30. April 2020 ein Lösegeld im zweistelligen Millionenbereich. Nachdem die Forderungen abgelehnt wurde, veröffentlichten die Täter die erbeuteten Daten im Darknet. TWL betont, es sei für den Versorger selbstverständlich, keine Geschäfte mit Kriminellen zu machen und nicht auf Lösegeldforderungen einzugehen. Erfahrungsgemäß führe auch eine Zahlung nicht zu einem Stopp der Datenverbreitung im Internet.

Für TWL wird die Situation auch deshalb immer unangenehmer, weil die Erpresser am 11. Mai 2020 damit begonnen haben, Kunden per E-Mail anzuschreiben und der TWL mangelnde Kooperation und Fehlverhalten vorzuwerfen, um den Druck auf das Unternehmen weiter zu erhöhen.

Zu den im Darknet veröffentlichten Daten zählen personenbezogene Daten wie Name, Kontaktdaten, Angaben zum gewählten Tarif und, sofern der TWL eine Einzugsermächtigung erteilt wurde, auch die Bankverbindung. Das Unternehmen geht davon aus, dass alle seine Kunden und Geschäftspartner betroffen sind. Es warnt seine Kunden davor, dass mit den erbeuteten Daten nun kriminelle Handlungen wie Identitätsdiebstahl, Phishing-Attacken oder der Versand von Viren und Trojanern per E-Mail stattfinden könnten.

Ransomware weltweit im Aufwind

Auf internationaler Ebene kamen in jüngster Zeit die Konzerne Pitney Bowes, Cognizant, Bouygues Construction und die US-Stadt Pensacola in den zweifelhaften Genuss eines Ransomware-Angriffs. In einigen Fällen kam dabei die Schadsoftware "Maze" zum Einsatz, mit der sich unter anderem die IT-Sicherheitsanbieter FireEye, Palo Alto Networks und Crowdstrike ausführlich beschäftigten.