Ransomware, immer wieder

17. Juli, 2019
Ransomware Infektion

Britischer Polizeiverband von Ransomware-Angriff betroffen

Die Zentrale der „Police Federation of England and Wales“ ist wohl Opfer eines Ransomware-Angriffs geworden. Es wurde bekannt, dass einige Datenbanken und andere Systeme am 08. März 2019 infiziert und unzugänglich gemacht wurden. Dabei wurden sogar Back-up-Dateien gelöscht. Obwohl der Verband Sofortmaßnahmen einleitete, kämpft er immer noch mit den Folgen des Angriffs.

Experten gehen davon aus, dass der Polizeiverband nicht das Hauptziel des Angriffs gewesen war, eher ein Nebenopfer. Bis dato sei nur die Zentrale in Surrey betroffen, hieß es. Weiter wird mangels Beweise davon ausgegangen, dass keine Daten der etwa 120.000 Verbandsmitglieder gestohlen wurden bei dem Angriff. In einem offiziellen Statement des Verbandes hieß es

„sofortige Schritte zur Isolierung des Vorfalls seien unternommen worden, wobei mehrere Systeme offline geschaltet wurden, um die Ausbreitung eines „Malware-Angriffs, der Daten verschlüsselt“, zu minimieren.“

Die Cyber Incident Response Division von BAE Systems unterstützt den Verband bei der Aufarbeitung des Angriffs. Strafrechtliche Ermittlung wurden eingeleitet. Die Verbandsmitglieder wurden aber erst elf Tage nach dem Vorfall informiert, was mit etwas Unmut aufgenommen wurde. Ihnen wurde empfohlen, auf verdächtige E-Mails, Texte und Telefonate zu achten. Der Polizeiverband hat eine Website und eine Helpline eingerichtet, an die sich alle betroffenen Mitglieder gegebenenfalls wenden können.

Aluminium-Gigant Norsk Hydro auch von Ransomware-Attacke betroffen

Norsk Hydro, das norwegische Unternehmen mit Hauptsitz in Olso, war ebenfalls Ziel eines schweren Ransomware-Angriffs. Als Folge des Angriffs musste das Unternehmen seine Operationskapazität um die Hälfte zurückfahren. Bei dem am 18. März 2019 entdeckten Angriff, wurden Daten verschlüsselt. Betroffen waren Unternehmensbereiche in den USA und in Europa. Norsk Hydros globales Netzwerk wurde vorübergehend offline genommen, damit die Malware-Infektion eingedämmt werden konnte. Mitarbeiter wurden gebeten ihre Computerarbeitsplätze nicht hochzufahren. Diese schnelle Reaktion könnte die weitere Verbreitung des Vorfalls auf die übrigen Niederlassungen verhindern. Norsk Hydro hat Vertretungen in 40 Ländern.

Die Angreifer infizierten die US-amerikanischen und europäischen IT-Systeme von Norsk Hydro mit sogenannter File-scrambling Malware. Solche Schadsoftware verschlüsselt Dokumente und Daten. Die Lösegeldzahlung zur Freischaltung der Daten ist dabei das Ziel der Angreifer. Laut einem Firmensprecher sei die Malware-Infektion schwer, beschränkt sich aber höchstwahrscheinlich nur auf das interne Verwaltungsnetzwerk. Die gesamte Tragweite des Angriffs sei noch nicht bekannt, hieß es weiter. In Medienberichten wird eine Ransomware namens LockerGoga mit dem Hydro-Angriff in Verbindung gebracht. Dies wurde jedoch nicht offiziell bestätigt. Diese Malware infizierte zwei Monate zuvor die It-Systeme des französischen Ingenieurbüros Altran

Der unabhängige IT-Sicherheitsforscher Kevin Beaumont, berief sich auf die Medienberichte in einem Twitter-Tweet. Er erläuterte, dass LockerGoga sich nicht auf Netzwerkverkehr, Domänennamensysteme oder Command and Control Server stützen würde. Nur so könne diese Malware die meisten Anti-Viren-Programme umgehen. Interessant war, was das MalwareHunterTeam dazu sagte, nachdem eine Stichprobe von LockerGoga nach VirusTotal hochgeladen wurde. Demnach wurde die Malware nur von 17 der 67 größten Anti-Virus-Systemen erkannt. Außerdem hatte die IT-Sicherheitsfirma Sectigo digital sie in der Vergangenheit signiert. Seitens Sectigo hieß es dazu:

„Generell widerruft Sectigo Zertifikate, die bei Malware-Angriffen verwendet werden und stellen keine Zertifikate an bekannte Malware-Anbieter aus.“

Dagegen ist genau bekannt, was die Angreifer erreichen wollen. Sie übermittelten mit der Malware eine Textdatei. Darin hieß es:

„Es gab eine nicht unerhebliche Schwachstelle im Sicherheitssystem Ihres Unternehmens. Sie sollten dankbar sein, dass diese Lücke von Profis mit ernsthaften Absichten und nicht von ein paar Anfängern ausgenutzt wurde. Die hätten nämlich alle eure Daten aus Versehen oder aus Spaß beschädigt.“

Dann wurde es spezifischer in der Mitteilung:

„Ihre Dateien werden mit den stärksten Militäralgorithmen RSA4096 und AES-256 verschlüsselt. Ohne unseren speziellen Decoder ist es unmöglich, diese Daten wiederherzustellen. Alle Versuche, Ihre Daten mit Drittanbietersoftware wie Photorec, RannohDecryptor etc. wiederherzustellen, führen zur unwiederbringlichen Zerstörung Ihrer Daten.“

Abschließend wurde die Entschlüsselung von bis zu drei selbst zu wählenden Dateien angeboten. Damit könnte die Authentizität der Forderung belegt werden. Eine Lösegeldforderung in Bitcoin wurde auch genannt.

Sicherheitsexperten wie Phil Neray sehen gerade große Produktionsunternehmen als bevorzugte Angriffsziele. Zum einen stehen sie immer unter Druck zu liefern und Profite zu generieren. Zum anderen wissen Angreifer auch, dass die IT-Sicherheit von industriellen Netzwerken schon seit Jahren vernachlässigt wird. Neray ergänzte, die Aufgabe für Hacker sei eigentlich recht einfach: Von einem Bürocomputer aus, können weltweite Produktionsstätten erreicht werden. Metall- oder Chemieunternehmen werden dabei besonders gern ins Visier genommen werden. Das Risiko schwerer Sicherheitsvorfälle und Umweltschäden treibt die Lösegeldsumme in die Höhe.

Die IT-Teams bei Norsk Hydro bemühen sich, die infizierten Systemen zu säubern. Danach planen die Teams die Wiederherstellung verlorener Daten mit Hilfe von Firmen-Back-up-Systemen. An eine Zahlung der Lösegeldforderung denke man nicht, sagte ein Sprecher.

Orange County, NC Ransomware Infektion: Alle schlechten Dinge sind drei

Gleich drei Mal in sechs Jahren wurde der Bezirk Orange County im amerikanischen Bundesstaat North Carolina von Ransomwareangriffen getroffen. Zuletzt am 18. März dieses Jahres. Computersysteme der Bibliotheken, der Planungsbehörde und des Bezirkssheriffs wurden gekapert. Mehr als 100 der betroffenen Rechner waren zwei Tage später wieder einsatzbereit. Die Orange County IT-Abteilung hat offensichtlich Übung darin, die Malware zu isolieren, ohne dass dabei Daten verloren gehen.

Welche Art Ransomware bei dem Angriff eingesetzt wurde, steht noch nicht fest. Auch nicht der Ansatzpunkt der Angreifer. Experten gehen von Phishing-Methoden aus. Ein Szenario, wie die Umgehung der Virenscanner oder mangelhafte IT-Sicherheit, ist möglich. Nicht ausgeschlossen werden kann, dass der Bezirk auf frühere Lösegeldforderungen eingegangen ist. Solches Verhalten kann Ansporn sein für wiederholte Angriffe. Diese Theorie ist gar nicht mal so abwegig.

Anfang März zahlte der Bezirk Jackson County im Bundesstaat Georgia eine Lösegeldsumme von 400.000 Dollar an Hacker. Bei diesem Angriff wurde die Ryuk-Malware eingesetzt. Von dieser ist bekannt, dass sie Ende 2018 gegen auch den Tribune Verlag und die Los Angeles Times eingesetzt wurde. Davon betroffen waren außerdem das Wall Street Journal, folgende Zeitungsverlage: New York Times, Los Angeles Times, Chicago Tribune, Baltimore Sun, Lake County News-Sun, Post-Tribune, Hartford Courant, Carroll County Times und Capital Gazette.

2017 und 2018 waren bereits mehrere lokale Regierungsbehörden, Städte wie Newark, New Jersey und Atlanta, das Transportministerium von Colorado, der Hafen von San Diego und einige Krankenhäuser angegriffen worden. Eingesetzt wurde die SamSam-Ransomware. Sie legte manche der betroffenen IT-Systeme sogar wochenlang lahm. In diesem Zusammenhang gibt es aber bereits Ermittlungserfolge. Das US-Justizministerium konnte die Anklage gegen zwei iranische Staatsangehörige einleiten.

Die Gründe, weshalb lokale Behörden gerne Ziele von Ransomwareangriffen sind, erklärt Chris Morales, Leiter der Sicherheitsanalytik bei Vectra in San Jose, Kalifornien, so:

„…ihnen fehlen möglicherweise die Ressourcen, die für die Aufrechterhaltung von allem was für eine robuste Cybersicherheitspolitik, -praktik oder -verfahren erforderlich ist.“

Seine Theorie untermauerte er mit einer schnellen Analyse des Orange County Bezirks und dessen Finanzbudget. Auf der Webseite des Bezirks wären alle nötigen Informationen für seine Rechenaufgabe zu finden. Angreifer, so Morales, würde genau dasselbe tun. Aus der Bevölkerungszahl, dem Durchschnittseinkommen und dem Haushalt des Bezirks könne jeder sehen, dass da nicht viel übrig bleibt für IT-Investitionen. Genau 3,4 Millionen US-Dollar, laut Morales. Viel zu wenig für adäquate IT-Sicherheit. Kleine Bezirke und Unternehmen könnten sich nicht leisten, mehr zu investieren. Ein guter Grund, für Hacker zuzuschlagen.

Auch im US-Bundesstaat Massachusetts wurde eine öffentliche Organisation im Februar dieses Jahres von einem Ransomwareangriff getroffen. Das Massachusetts Committee for Public Counsel Services (CPCS) konnte glücklicherweise auch auf ein Back-up zurückgreifen, um alles wiederherzustellen. Das Committee wurde wohl von einem Trojaner und von Ransomware getroffen. Auf die Lösegeldforderung der Angreifer wurde in diesem Fall nicht eingegangen.

Artikel von theregister.co.uk, 21.03.2019: Brit Police Federation cops to ransomware attack on HQ systems
Artikel von zdnet.com, 21.03.2019: Police Federation hit by ransomware attack
Artikel von theregister.co.uk, 19.03.2019: Ransomware drops the Lillehammer on Norsk Hydro: Aluminium giant forced into manual mode after systems scrambled
Artikel von arstechnica.com, 19.03.2019: “Severe” ransomware attack cripples big aluminum producer
Artikel von cyberscoop.com, 19.03.2019: Norwegian aluminum producer Norsk Hydro hit with large ransomware attack
Artikel von reuters.com, 21.03.2019: Hydro products unit running at 50 percent after cyber attack
Artikel von govinfosecurity.com, 21.03.2019: North Carolina County Suffers Repeat Ransomware Infections
Artikel von masslive.com, 13.03.2019: Cyberattack shuts down Committee for Public Counsel Services network, leaving bar advocates unpaid

 

Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen