Goldene Zeiten für Ransomware-Erpresser

Bild eines Virus von SciTechTrend via flickr.com. Lizenz: Öffenliche Domain

Pemex, der staatliche Ölkonzern Mexikos, hat ein Problem: Hacker haben eine Ransomware eingeschleust, Computerdaten verschlüsselt und verlangen nun 565 Bitcoin, um die Daten wieder zu entschlüsseln. Das ist das bisher höchste von Ransomware geforderte Lösegeld. Aber der Konzern ist nicht das einzige prominente Opfer von Ransomware in dieser Woche. Unter ihnen ist auch der größte spanische Radiosender, eine Highschool in Mexiko sowie die Regierung einer sehr weit nördlich gelegenen kanadischen Provinz.

Pemex ist der staatliche Mineralölkonzern Mexikos und besitzt als solcher das Monopol auf die Vergabe von Tankstellenkonzessionen. Das Unternehmen zählt zu den zehn größten Erdölkonzernen der Welt und erwirtschaftet einen Umsatz von gut 70 Milliarden Dollar.

Am Sonntag fiel der Firma auf, dass sie gehackt worden war. In der Folge musste Pemex Computer in ganz Mexiko herunterfahren und die internen Zahlungssysteme einfrieren. Die Daten der betroffenen Computer waren verschlüsselt, auf ihnen fanden die Mitarbeiter einer Nachricht vor, die auf eine Webseite im Darknet verwies und 565 Bitcoins für den Schlüssel verlangte, mit denen die Daten entschlüsselt werden können. 565 Bitcoins sind etwa 4,4 Millionen Euro. Dies macht den Betrag zum bisher höchsten Lösegeld, das im Zuge einer Ransomware-Infektion gefordert wird.

Ransomware ist eine Software, die irgendeine Sicherheitslücke – sei sie im IT-System, sei sie in den Menschen – ausnutzt, um sich Zugriff auf Computer und Netzwerke zu verschaffen und dann sämtliche Daten zu verschlüsseln. Für die Entschlüsselung wird dann ein Lösegeld verlangt. Dieses beträgt oft nur einige hundert Euro, kann aber bei gezielten Angriffen auf große Unternehmen auch Werte wie die von Pemex verlangten 4,4 Millionen Euro erreichen.

Betroffen sind bei Pemex rund 5 Prozent der Computer des Konzern. Die Produktion und Auslieferung von Mineralöl bzw. Benzin bleibt davon aber unberührt. Der normale Betrieb geht also weiter. Dementsprechend möchte Pemex das Lösegeld nicht bezahlen, wie Mexikos Energieministerin Rocío Nahle erklärt hat. Damit dürfte sich die Lösegeldsumme entsprechend der Drohung der Hacker in zwei Wochen auf 1130 Bitcoin erhöhen. Die Hacker drohen zugleich, sensible Daten aus dem Firmennetzwerk zu veröffentlichen.

Die Ransomeware, von der Pemex betroffen ist, hat den Namen DoppelPaymer. Sie ist eine seit Sommer umlaufende Mutation von BitPaymer, die vor allem gezielt größere Unternehmen angreift. Laut der Sicherheitsfirma CrowdStrike waren vor Pemex drei Opfer von DoppelPaymer bekannt, die zusammen ein Lösegeld von 142 Bitcoin bezahlt haben. Als Verschlüsselung wird RSA mit 2048 Bits und AES mit 256 Bits verwendet; es dürfte vollkommen unmöglich sein, die verschlüsselten Daten ohne den Schlüssel zu bergen. Gemeinerweise greift DoppelPaymer nicht nur die Festplatten der betroffenen Systeme an, sondern auch Backups und Computer, die übers Netzwer mit diesem verbunden sind.

Pemex ist dabei nicht das einzige bemerkenswerte Opfer von Ransomware in den letzten Tagen. So hat sich der älteste und größte Radiosender Spaniens, Cadena SER, mit der Ransomware BitPaymer infiziert. Spekulationen zufolge hängt der Vorfalls damit zusammen, dass Everis, die größte IT-Firma Spanien, vor einiger Zeit ebenfalls von einer Ransomware befallen wurde, auch wenn nicht bekannt ist, welche Inkarnation es dort war. Da Cadena ein Kunde von Everis ist, könnte es sein, dass der Virus eine Sicherheitslücke ausgenutzt hat, um auf die Systeme des Radiosenders überzuspringen. Die Sicherheitslücke, durch die der Virus geschlüpft ist, war vermutlich BlueKeep in einer nicht aktualisierten Version von Windows NT. Diese Lücke hatte bereits 2017 die Welle der WannaCry-Ransomware ermöglicht.

Als Lösegeld verlangen die Hacker eine nicht genannte Anzahl Bitcoins, die laut den spanischen Presseberichten etwa 750.000 Euro entspricht. Das spanische Innenministerium ist bereits über den Fall informiert, und das nationale Institut für Cybersicherheit versucht, die Daten zu bergen – was angesichts der starken Verschlüsselung der Ransomware wohl unmöglich sein wird, sofern es kein gutes Backup gibt.

Das dritte Opfer von Ransomware, das wir hier vorstellen, ist eine Highschool im texanischen Port Neches. Die Schule wurde am Morgen des 12. Novembers infiziert. Wie üblich wurden alle Dateien verschlüsselt und es wird ein Lösegeld verlangt. Wie hoch dieses ist, ist ebenso wenig bekannt, wie welche Inkarnation der Ransomware zum Einsatz kam. Laut der Schulverwaltung sind die Informationen auf den Servern allerdings nicht heikel und enthalten etwa keine Informationen zu den Schülern. Betroffen ist allein die Technologie in den Klassenzimmern, was laut der Verwaltung weder für die Schüler noch für die Lehrer besonders schmerzhaft ist. Störend dürfte sein, dass die Lehrer sich nicht in das System einloggen und beispielsweise E-Mails checken können.

Vor kurzem wurde zudem die Regierung von Nunavut betroffen. Nunavut ist eine sehr weit im Norden liegende Provinz Kanadas mit einem besonders hohen Anteil an Inuit in der Bevölkerung. Nachdem der Virus die Systeme der Regierung am 2. November befallen hatte, lag die elektronische Kommunikation der Regierungsangehörigen brach und einige Dienstleistungen der Regierungen waren nicht mehr in Funktion. Die Ransomware-Herausgeber verlangten nicht nur ein Lösegeld in Bitcoin, sondern auch bestimmte weitere interne Informationen. Daher wurde die Entscheidung getroffen, den Forderungen nicht nachzukommen.

Zum Glück für die Regierung von Nunavut war es der Ransomware nicht gelungen, auch die Backups zu infizieren, so dass die Regierung alle 2.700 Computer der öffentlichen Verwaltung von Nunavut wieder neu aufsetzen konnte. Dies allerdings braucht Zeit; noch heute haben rund 1.500 Mitarbeiter der Regierung keinen Zugriff auf ihre Computer. Nach etwa zwei Wochen des digitalen Blackouts fahren die Computersysteme der Finanzverwaltung, der Familienbüros, der Justiz und der Krankenhäuser langsam wieder hoch. Besonders schwierig sei der Prozess bei den kleinen Gemeinden außerhalb der Provinzhauptstadt Iqaluit.

Die genannten Fälle illustrieren einen Wandel bei der strategischen Ausrichtung von Ransomware. Während sie vor einigen Jahren noch nach dem Gießkannenprinzip auf User und Unternehmen verteilt wurden, um unter einer Vielzahl von Opfern immerhin einige zum Bezahlen eher kleiner Beträge im dreistelligen Eurobereich zu bewegen, konzentriert sich die Ransomware heute eher auf große Firmen und Institutionen. Die Angriffe finden gezielt statt und versprechen im Erfolgsfall ein Lösegeld im sechs- oder siebenstelligen Eurobereich. Dementsprechend steigt der im Durchschnitt geforderte Betrag seit einiger Zeit stetig an; im dritten Quartal 2019 hat er laut BankinfoSecurity einen Höchststand von 41.000 Dollar erreicht.

Es ist sowohl für Firmen als auch staatliche Einrichtungen schwierig, sich vor Ransomware zu schützen. Natürlich helfen aktualisierte Systeme und eine gute Computersicherheit, insbesondere in der Netzwerktechnik. Allerdings dürfte es ohne massive Einbußen in der Produktivität von Mitarbeitern kaum möglich sein, zu verhindern, dass diese die falschen Webseiten öffnen, die falschen Dateien herunterladen oder die falschen Anhänge in E-Mails öffnen. Auch Backups sind kein Allheilmittel. Da die Ransomware auch Backups angreift, müssen diese vom System getrennt werden, wie eine Cold Wallet für Bitcoins; der Aufwand gerade bei verteilten Organisationen wie regionalen Regierungen, täglich umfassende solche Backups zu erstellen und im Falle des Falles wieder einzuspielen, ist beträchtlich. In diesem Sinn erhöht die nackte Existenz von Ransomware bereits die Betriebskosten von IT-Systemen.

Wenn es einen Angriff gibt, können gut gesicherte Daten zwar wieder hergestellt werden. Allerdings kostet dies sehr viel Zeit – im Falle von Nunavut mehrere Wochen – in denen die öffentliche Infrastruktur ausfällt oder nur bedingt einsatzfähig ist, und in denen Unternehmen wie Pemex und Cadena Einnahmeausfälle hinnehmen müssen.

Über Christoph Bergmann (1644 Beiträge)
Das Bitcoinblog wird von Bitcoin.de gesponsort, ist inhaltlich aber unabhängig und gibt die Meinung des Redakteurs Christoph Bergmann wieder. Christoph hat vor kurzem ein Buch geschrieben: Bitcoin: Die verrückte Geschichte vom Aufstieg eines neuen Geldes. Das Buch stellt Bitcoin in seiner ganzen Pracht dar. Ihr könnt es direkt auf der Webseite Bitcoin-Buch.org bestellen - natürlich auch mit Bitcoin - oder auch per Amazon. Natürlich freuen wir uns auch über Spenden in Bitcoin, Bitcoin Cash oder Bitcoin SV an die folgende Adresse: 1BergmanNpFqZwALMRe8GHJqGhtEFD3xMw. Wer will, kann uns auch Hier mit Lightning spenden. Tipps für Stories sind an christoph.bergmann@mailbox.org immer erwünscht. Wer dies privat machen möchte, sollte meinen PGP-Schlüssel verwenden.

3 Kommentare zu Goldene Zeiten für Ransomware-Erpresser

  1. Zum Glück für die Regierung von Nunavut war es der Ransomware nicht gelungen, auch die Backups zu infizieren, so dass die Regierung alle 2.700 Computer der öffentlichen Verwaltung von Nunavut wieder neu aufsetzen konnte. Dies allerdings braucht Zeit; noch heute haben rund 1.500 Mitarbeiter der Regierung keinen Zugriff auf ihre Computer.

    Beachtlich, 2.700 Arbeitsplätze in der Verwaltung bei einer Bevölkerung von 38.780 Menschen.

    Es ist sowohl für Firmen als auch staatliche Einrichtungen schwierig, sich vor Ransomware zu schützen. Natürlich helfen aktualisierte Systeme und eine gute Computersicherheit, insbesondere in der Netzwerktechnik. Allerdings dürfte es ohne massive Einbußen in der Produktivität von Mitarbeitern kaum möglich sein, zu verhindern, dass diese die falschen Webseiten öffnen, die falschen Dateien herunterladen oder die falschen Anhänge in E-Mails öffnen.

    Naja. Es dürfte für 99% aller Angriffszenarien ausreichen, die Systeme mit entsprechenden Rechten unter Linux aufzusetzen und nicht (womöglich noch veraltete und unter Root laufende) Wintendo Kisten. Das gilt auch für den Backup Server, der dem einzelnen Client keine Rechte zum Überschreiben einräumt, sondern nur Push zulässt, sogar ganz ohne Lesezugriff. Microsofts Lobby ist dafür leider zu stark und lullt die Verantwortlichen leider zu oft ein…

    • Naja, zehn Prozent, ist das nicht eher eine geringe Staatsquote?

      Ich denke, wenn alle Linux benutzen würden, würde es mehr Angriffe auf Linux geben. Aber recht hast du schon, derzeit sollte man wohl die Rechnungen für Ransomware an Microsoft weiterleiten … genauso wie die Rechnungen für neue Computer. Windows zieht jedes System viel mehr runter als schlechte Hardware.

      • Naja, zehn Prozent, ist das nicht eher eine geringe Staatsquote?

        Interessante Frage, aber alleine für Verwaltungsjobs am Rechner finde ich das doch etwas hoch… Öffentliche Bereiche der Infrastruktur kommen da ja noch dazu.
        Bezüglich Linux und der Angriffsfläche: Man kann auch ein Linux schlecht konfigurieren, aber es ist deutlich schwieriger, ein Windows sicher zu konfigurieren und die Rechte der Nutzer entsprechend einschränken, dass sie keinen nicht autorisierten Code am Arbeitsplatz ausführen können. Dann läuft ein dringendes Update mal nicht und der Netzwerkadmin rückt schnell das Root Passwort raus, damit der User er schnell selbst einspielen kann und schon ist er Root und kann sich jede Malware ausführen, die er will oder nicht erkennt (wie auch?).

        Linux ist schon heute das interessantere Ziel, da die meisten Backendsysteme darauf laufen und wenn eben der Server komplett ausfallen würde, ohne Backups, statt nur die Workstations, sind wir schnell bei Unternehmensbedrohlichen Szenarios. Nichtsdestotrotz hört man wenig davon, denn diese sind meist vernünftig konfiguriert (alleine schon die Voreinstellungen).

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s