Bei Ransomware-Angriffen geht es um das ganz große Geschäft. Schätzungen zufolge wird es bis Ende 2021 alle 11 Sekunden einen Ransomware-Angriff auf ein Unternehmen geben, der einen Schaden von bis zu 20 Milliarden US-Dollar verursacht. Aber Ransomware-Angriffe bereiten nicht nur Organisationen wie Unternehmen, Behörden und Gesundheitsdienstleistern Kopfschmerzen, sie betreffen auch Kunden und Mitarbeiter, deren Daten häufig zum Kollateralschaden dieser Angriffe gehören.
Als Ransomware bezeichnet man eine Malware, mit der die Daten und Dateien der Opfer verschlüsselt werden. Diese muss man von anderen Erpressungsversuchen, den DDoS-Angriffen (Distributed Denial of Service), unterscheiden, bei denen die betroffenen Unternehmen mit Datenverkehr überflutet werden und den weiteren Ansturm nur durch Zahlung einer Art Lösegeld abwenden können.
Während einige Organisationen den Forderungen schon nachgekommen sind, lautet die allgemeine Empfehlung, dies nicht zu tun, denn auch nach erfolgter Zahlung gibt es keine Garantie, dass der Zugriff auf die infizierten Systeme tatsächlich wiederhergestellt wird. Außerdem wird dies als Anreiz für diese Form des Cyberangriffs gewertet. Viele Unternehmen versuchen Ransomware-Angriffe geheim zu halten oder machen, wenn sie sie offenlegen, keine Angaben zu den Forderungen der Angreifer.
In diesem Artikel sollen einige der jüngsten Fälle von Ransomware im Zeitraum von Januar bis Dezember 2020 vorgestellt werden.
Das Jahr begann mit einem Hackerangriff auf das Devisenhandelsunternehmen Travelex, in dem das Unternehmen gezwungen wurde, alle Computersysteme abzuschalten und mit Stift und Papier weiterzuarbeiten. In der Folge musste das Unternehmen seine Webseiten in 30 Ländern abschalten.
Hinter dem Angriff steckte eine Ransomware-Bande namens Sodinokibi (auch unter dem Namen REvil bekannt), die Forderung an Travelex belief sich auf 6 Millionen US-Dollar. Die Bande behauptete, bereits vor sechs Monaten in das Computer-Netzwerk des Unternehmens eingedrungen zu sein und 5 GB an sensiblen Kundendaten wie Geburtsdaten und Kreditkartennummern heruntergeladen zu haben. Wenn Travelex das Lösegeld zahle, werde man die Daten löschen, wenn nicht, würde sich die Lösegeldforderung alle zwei Tage verdoppeln. Nach sieben Tagen meldete die Bande, dass sie die Daten an andere Cyberkriminelle verkaufen würden.
Nach eigenem Bekunden zahlte Travelex den Erpressern 2,3 Millionen US-Dollar in Bitcoin und konnte nach zwei Wochen den Betrieb seiner Online-Systeme wiederaufnehmen. Im August 2020 meldete das Unternehmen Insolvenz an. Als Grund wurde eine Kombination aus dem Ransomware-Angriff und den Auswirkungen der Covid-19-Pandemie genannt.
Am Valentinstag legte ein Cyberangriff den Geschäftsbetrieb des INA-Konzerns lahm, dem größten Ölkonzern mit der umfassendsten Tankstellenkette in Kroatien. Im Rahmen dieses Angriffs wurden einige Back-End-Server des Unternehmens infiziert und anschließend verschlüsselt.
Das Unternehmen war zwar weiterhin in der Lage, seine Kunden mit Benzin zu versorgen, betroffen aber waren Bereiche des Rechnungswesens, die Abrechnung von Bonuspunkten, die Neuausstellung mobiler Gutscheine sowie einige Bezahloptionen für bestimmte Rechnungen.
Berichten zufolge war dem Angriff eine Infektion mit der Ransomware des Typs Clop vorausgegangen. Forscher im Sicherheitsbereich stufen die Clop-Bande als „Big Game Ransomware“ ein, womit kriminelle Gruppen bezeichnet werden, die die Netzwerke von Unternehmen infizieren, deren Daten verschlüsseln und extrem hohe Lösegeldforderungen stellen.
Im März wurde bekannt, dass Communications & Power Industries (CPI), ein großer Hersteller von elektronischen Geräten mit Sitz in Kalifornien, von einem Ransomware-Angriff betroffen war.
Das Unternehmen stellt Komponenten für militärische Geräte und Ausrüstung her und beliefert auch das US-Verteidigungsministerium. Der Ransomware-Angriff wurde durch einen Domänenadministrator der Firma ausgelöst, der per Klick auf einen schädlichen Link die Dateiverschlüsselung ins Rollen brachte. Da zu derselben nicht segmentierten Domäne Tausende von Computern im Netzwerk gehörten, konnte sich die Ransomware rasch in sämtlichen Büros von CPI bis hin zu den lokalen Datensicherungen ausbreiten.
Berichten zufolge zahlte das Unternehmen 500.000 US-Dollar an die Erpresser. Welche Art von Ransomware zum Einsatz gekommen war, ist nicht bekannt.
Im April gab es Meldungen, nach denen der portugiesische Energieriese Energias de Portugal (EDP) einem Angriff zum Opfer gefallen sei. Mithilfe der Ransomware Ragnar Locker war es Cyberkriminellen gelungen, die Systeme des Unternehmens zu verschlüsseln. Die Lösegeldforderung belief sich auf fast 10 Millionen US-Dollar.
Die Angreifer behaupteten, im Besitz von mehr als 10 TB an vertraulichen Unternehmensdaten zu sein, und drohten damit, diese bei Nichtzahlung des Lösegelds zu veröffentlichen. Um ihrer Forderung Nachdruck verleihen, veröffentlichten die Hacker auf einer Webseite Screenshots mit vertraulichen Daten. Die Daten sollten angeblich vertrauliche Informationen zu Rechnungen, Verträgen, Transaktionen, Kunden und Partnern enthalten.
EDP bestätigte zwar, dass ein Angriff stattgefunden habe, es aber keine Beweise dafür gebe, dass vertrauliche Kundendaten betroffen seien. Mit dem Verweis darauf, dass gestohlene Daten von Kunden auch noch in Zukunft veröffentlicht werden könnten, bot das Unternehmen seinen Kunden allerdings an, dass sie die Identitätsschutz-Software Experian ein Jahr kostenlos nutzen könnten.
Im Mai fiel Grubman Shire Meiselas & Sacks, eine Anwaltskanzlei in New York mit einer ganzen Reihe prominenter Mandanten wie Madonna, Elton John und Robert DeNiro, der Ransomware REvil zum Opfer.
Die Angreifer behaupteten, mithilfe der Ransomware REvil oder Sodinokobi an personenbezogene Daten gekommen zu sein, darunter Verträge mit Klienten, Telefonnummern, E-Mail-Adressen, persönliche Korrespondenz und Vertraulichkeitsvereinbarungen. Sie drohten damit, die Daten in neun Etappen zu veröffentlichen, wenn nicht ein Lösegeld in Höhe von insgesamt 21 Millionen US-Dollar gezahlt würde. Die Forderung wurde auf 42 Millionen US-Dollar verdoppelt, als die Kanzlei sich weigerte zu zahlen.
Zu den angeblich betroffenen Prominenten gehörten Bruce Springsteen, Lady Gaga, Nicki Minaj, Mariah Carey und Mary J. Blige. Die Anwaltskanzlei zeigte keinerlei Verhandlungsbereitschaft mit den Angreifern und schaltete das FBI ein.
Im Juni gab es einen Angriff der Ransomware Snake (auch bekannt als Ekans) auf den Automobilgiganten Honda und dessen Niederlassungen in den USA, Europa und Japan. Nachdem der Angriff entdeckt wurde, stoppte Honda die Produktion an bestimmten Standorten, um sein lahmgelegtes Computer-Netzwerk wieder in Gang zu bringen. Die Hacker hatten den internen Server von Honda geknackt und verschlüsselt und forderten für die Herausgabe des Schlüssels ein Lösegeld. Wie Honda später erklärte, hätten die Angreifer keine Beweise für den Verlust von personenbezogenen Daten vorgelegt.
Im Juli fiel der französische Telekommunikationsanbieter und Europas viertgrößter Mobilfunkbetreiber Orange einem Angriff der Ransomware Nefilim zum Opfer. Von der Datenschutzverletzung betroffen war der Bereich der Unternehmensservices und am 15. Juli wurden auf der Webseite von Nefilim im Darknet Unternehmensdetails veröffentlicht. Weitere Beispiele von Daten, die laut Nefilim von Orange-Kunden abgegriffen wurden, befänden sich in einem 339 MB großen Archiv.
Nefilim ist ein relativ neuer Ransomware-Akteur, der 2020 entdeckt wurde. Orange erklärte, dass die Daten von etwa 20 Unternehmenskunden innerhalb der Business Services-Sparte betroffen seien.
Im August wurde bekannt, dass die University of Utah ein Lösegeld in Höhe von 457.000 US-Dollar gezahlt hatte, um die Veröffentlichung vertraulicher Dateien zu verhindern, die bei einem Ransomware-Angriff gestohlen worden waren. Bei dem Angriff waren die Server der sozial- und verhaltenswissenschaftlichen Fakultät verschlüsselt worden. Dabei hatten die Cyberkriminellen unverschlüsselte Daten entwendet, bevor sie die Computer verschlüsselten.
Da die gestohlenen Daten Studenten- und Mitarbeiterdaten enthielten, entschied sich die Universität zur Zahlung, um deren Veröffentlichung abzuwenden. Darüber hinaus riet sie allen Studenten und Mitarbeitern der betroffenen Fakultät, ihre Kredithistorie auf betrügerische Aktivitäten zu prüfen und alle online genutzten Passwörter zu ändern.
Im September wurde K-Elektrik, der einzige Stromanbieter im pakistanischen Karachi, zum Ziel eines Angriffs durch die Ransomware NetWalker. Dabei kam es zu einer Störung der Abrechnungs- und Online-Dienste des Unternehmens.
Die Hintermänner der Ransomware forderten von K-Electric ein Lösegeld von 3,85 Millionen US-Dollar. Im Falle der Nichtzahlung innerhalb von sieben Tagen erhöhe sich die Forderung auf 7,7 Millionen US-Dollar. NetWalker veröffentlichte ein 8,5 GB großes Archiv mit Dateien, die angeblich während des Angriffs entwendet worden waren und neben Finanzdaten auch Kundendetails enthielten.
Zuvor hatte NetWalker die argentinische Einwanderungsbehörde, verschiedene US-amerikanische Behörden sowie die Universität von Kalifornien in San Francisco ins Visier genommen.
K-Electric räumte ein, dass zwar ein Cybervorfall stattgefunden habe, dass aber alle kritischen Kundenservices voll funktionsfähig seien.
Im Oktober hackten Cyberkriminelle die Server der Nachrichtenagentur Press Trust of India (PTI) und legten deren Dienste für Stunden lahm. Ein Sprecher des Unternehmens beschrieb den Vorfall als massiven Ransomware-Angriff, der zur Unterbrechung des Betriebs führte und die Bereitstellung von Nachrichten an Abonnenten in ganz Indien unmöglich machte.
Als Vehikel wurde LockBit ausgemacht, eine Schadsoftware, die darauf ausgelegt ist, den Nutzerzugang zu Computersystemen zu sperren, um damit eine Lösegeldzahlung zu erzwingen.
Im November sah sich der Oberste Gerichtshof von Brasilien in Folge eines massiven Ransomware-Angriffs gezwungen, die eigene Webseite abzuschalten.
Die Angreifer hinter der Ransomware behaupteten, dass sie die gesamte Datenbank des Gerichts verschlüsselt haben und dass alle Versuche, sie wiederherzustellen, zum Scheitern verurteilt seien. In ihrem Erpresserschreiben fordern die Hacker das Gericht auf, sie über eine E-Mail-Adresse von Proton Mail zu kontaktieren. Die Hacker versuchten außerdem, verschiedene andere Webseiten mit Bezug zur brasilianischen Regierung anzugreifen.
Im Dezember warnte der Pharmakonzern GenRx Pharmacy, der seinen Sitz in Arizona hat, Hunderttausende von Patienten vor einer möglichen Datenschutzverletzung in Folge eines Ransomware-Angriffs, der Anfang des Jahres stattgefunden hatte. Das Unternehmen gab an, dass es kriminellen Hackern gelungen sei, eine Reihe von Dateien mit Gesundheitsdaten zu entwenden, mit denen das Unternehmen Patientenbestellungen von rezeptpflichtigen Produkten verarbeitet und versendet.
Bei den jüngsten Ransomware-Angriffen ist zu beobachten, dass die Täter ihre Opfer sehr gezielt auswählen und auch ihre Forderungen darauf ausrichten. Das Anti-Ransomware-Tool von Kaspersky bietet sowohl Unternehmen als auch Privatanwendern Schutz. Wie bei jeder Cybersicherheitsbedrohung ist Wachsamkeit der beste Schutz.
Verwandte Artikel: