Goldene Zeiten für Ransomware-Erpresser

Pemex, der staatliche Ölkonzern Mexikos, hat ein Problem: Hacker haben eine Ransomware eingeschleust, Computerdaten verschlüsselt und verlangen nun 565 Bitcoin, um die Daten wieder zu entschlüsseln. Das ist das bisher höchste von Ransomware geforderte Lösegeld. Aber der Konzern ist nicht das einzige prominente Opfer von Ransomware in dieser Woche. Unter ihnen ist auch der größte spanische Radiosender, eine Highschool in Mexiko sowie die Regierung einer sehr weit nördlich gelegenen kanadischen Provinz.

Pemex ist der staatliche Mineralölkonzern Mexikos und besitzt als solcher das Monopol auf die Vergabe von Tankstellenkonzessionen. Das Unternehmen zählt zu den zehn größten Erdölkonzernen der Welt und erwirtschaftet einen Umsatz von gut 70 Milliarden Dollar.

Am Sonntag fiel der Firma auf, dass sie gehackt worden war. In der Folge musste Pemex Computer in ganz Mexiko herunterfahren und die internen Zahlungssysteme einfrieren. Die Daten der betroffenen Computer waren verschlüsselt, auf ihnen fanden die Mitarbeiter einer Nachricht vor, die auf eine Webseite im Darknet verwies und 565 Bitcoins für den Schlüssel verlangte, mit denen die Daten entschlüsselt werden können. 565 Bitcoins sind etwa 4,4 Millionen Euro. Dies macht den Betrag zum bisher höchsten Lösegeld, das im Zuge einer Ransomware-Infektion gefordert wird.

Ransomware ist eine Software, die irgendeine Sicherheitslücke – sei sie im IT-System, sei sie in den Menschen – ausnutzt, um sich Zugriff auf Computer und Netzwerke zu verschaffen und dann sämtliche Daten zu verschlüsseln. Für die Entschlüsselung wird dann ein Lösegeld verlangt. Dieses beträgt oft nur einige hundert Euro, kann aber bei gezielten Angriffen auf große Unternehmen auch Werte wie die von Pemex verlangten 4,4 Millionen Euro erreichen.

Betroffen sind bei Pemex rund 5 Prozent der Computer des Konzern. Die Produktion und Auslieferung von Mineralöl bzw. Benzin bleibt davon aber unberührt. Der normale Betrieb geht also weiter. Dementsprechend möchte Pemex das Lösegeld nicht bezahlen, wie Mexikos Energieministerin Rocío Nahle erklärt hat. Damit dürfte sich die Lösegeldsumme entsprechend der Drohung der Hacker in zwei Wochen auf 1130 Bitcoin erhöhen. Die Hacker drohen zugleich, sensible Daten aus dem Firmennetzwerk zu veröffentlichen.

Die Ransomeware, von der Pemex betroffen ist, hat den Namen DoppelPaymer. Sie ist eine seit Sommer umlaufende Mutation von BitPaymer, die vor allem gezielt größere Unternehmen angreift. Laut der Sicherheitsfirma CrowdStrike waren vor Pemex drei Opfer von DoppelPaymer bekannt, die zusammen ein Lösegeld von 142 Bitcoin bezahlt haben. Als Verschlüsselung wird RSA mit 2048 Bits und AES mit 256 Bits verwendet; es dürfte vollkommen unmöglich sein, die verschlüsselten Daten ohne den Schlüssel zu bergen. Gemeinerweise greift DoppelPaymer nicht nur die Festplatten der betroffenen Systeme an, sondern auch Backups und Computer, die übers Netzwer mit diesem verbunden sind.

Pemex ist dabei nicht das einzige bemerkenswerte Opfer von Ransomware in den letzten Tagen. So hat sich der älteste und größte Radiosender Spaniens, Cadena SER, mit der Ransomware BitPaymer infiziert. Spekulationen zufolge hängt der Vorfalls damit zusammen, dass Everis, die größte IT-Firma Spanien, vor einiger Zeit ebenfalls von einer Ransomware befallen wurde, auch wenn nicht bekannt ist, welche Inkarnation es dort war. Da Cadena ein Kunde von Everis ist, könnte es sein, dass der Virus eine Sicherheitslücke ausgenutzt hat, um auf die Systeme des Radiosenders überzuspringen. Die Sicherheitslücke, durch die der Virus geschlüpft ist, war vermutlich BlueKeep in einer nicht aktualisierten Version von Windows NT. Diese Lücke hatte bereits 2017 die Welle der WannaCry-Ransomware ermöglicht.

Als Lösegeld verlangen die Hacker eine nicht genannte Anzahl Bitcoins, die laut den spanischen Presseberichten etwa 750.000 Euro entspricht. Das spanische Innenministerium ist bereits über den Fall informiert, und das nationale Institut für Cybersicherheit versucht, die Daten zu bergen – was angesichts der starken Verschlüsselung der Ransomware wohl unmöglich sein wird, sofern es kein gutes Backup gibt.

Das dritte Opfer von Ransomware, das wir hier vorstellen, ist eine Highschool im texanischen Port Neches. Die Schule wurde am Morgen des 12. Novembers infiziert. Wie üblich wurden alle Dateien verschlüsselt und es wird ein Lösegeld verlangt. Wie hoch dieses ist, ist ebenso wenig bekannt, wie welche Inkarnation der Ransomware zum Einsatz kam. Laut der Schulverwaltung sind die Informationen auf den Servern allerdings nicht heikel und enthalten etwa keine Informationen zu den Schülern. Betroffen ist allein die Technologie in den Klassenzimmern, was laut der Verwaltung weder für die Schüler noch für die Lehrer besonders schmerzhaft ist. Störend dürfte sein, dass die Lehrer sich nicht in das System einloggen und beispielsweise E-Mails checken können.

Vor kurzem wurde zudem die Regierung von Nunavut betroffen. Nunavut ist eine sehr weit im Norden liegende Provinz Kanadas mit einem besonders hohen Anteil an Inuit in der Bevölkerung. Nachdem der Virus die Systeme der Regierung am 2. November befallen hatte, lag die elektronische Kommunikation der Regierungsangehörigen brach und einige Dienstleistungen der Regierungen waren nicht mehr in Funktion. Die Ransomware-Herausgeber verlangten nicht nur ein Lösegeld in Bitcoin, sondern auch bestimmte weitere interne Informationen. Daher wurde die Entscheidung getroffen, den Forderungen nicht nachzukommen.

Zum Glück für die Regierung von Nunavut war es der Ransomware nicht gelungen, auch die Backups zu infizieren, so dass die Regierung alle 2.700 Computer der öffentlichen Verwaltung von Nunavut wieder neu aufsetzen konnte. Dies allerdings braucht Zeit; noch heute haben rund 1.500 Mitarbeiter der Regierung keinen Zugriff auf ihre Computer. Nach etwa zwei Wochen des digitalen Blackouts fahren die Computersysteme der Finanzverwaltung, der Familienbüros, der Justiz und der Krankenhäuser langsam wieder hoch. Besonders schwierig sei der Prozess bei den kleinen Gemeinden außerhalb der Provinzhauptstadt Iqaluit.

Die genannten Fälle illustrieren einen Wandel bei der strategischen Ausrichtung von Ransomware. Während sie vor einigen Jahren noch nach dem Gießkannenprinzip auf User und Unternehmen verteilt wurden, um unter einer Vielzahl von Opfern immerhin einige zum Bezahlen eher kleiner Beträge im dreistelligen Eurobereich zu bewegen, konzentriert sich die Ransomware heute eher auf große Firmen und Institutionen. Die Angriffe finden gezielt statt und versprechen im Erfolgsfall ein Lösegeld im sechs- oder siebenstelligen Eurobereich. Dementsprechend steigt der im Durchschnitt geforderte Betrag seit einiger Zeit stetig an; im dritten Quartal 2019 hat er laut BankinfoSecurity einen Höchststand von 41.000 Dollar erreicht.

Es ist sowohl für Firmen als auch staatliche Einrichtungen schwierig, sich vor Ransomware zu schützen. Natürlich helfen aktualisierte Systeme und eine gute Computersicherheit, insbesondere in der Netzwerktechnik. Allerdings dürfte es ohne massive Einbußen in der Produktivität von Mitarbeitern kaum möglich sein, zu verhindern, dass diese die falschen Webseiten öffnen, die falschen Dateien herunterladen oder die falschen Anhänge in E-Mails öffnen. Auch Backups sind kein Allheilmittel. Da die Ransomware auch Backups angreift, müssen diese vom System getrennt werden, wie eine Cold Wallet für Bitcoins; der Aufwand gerade bei verteilten Organisationen wie regionalen Regierungen, täglich umfassende solche Backups zu erstellen und im Falle des Falles wieder einzuspielen, ist beträchtlich. In diesem Sinn erhöht die nackte Existenz von Ransomware bereits die Betriebskosten von IT-Systemen.

Wenn es einen Angriff gibt, können gut gesicherte Daten zwar wieder hergestellt werden. Allerdings kostet dies sehr viel Zeit – im Falle von Nunavut mehrere Wochen – in denen die öffentliche Infrastruktur ausfällt oder nur bedingt einsatzfähig ist, und in denen Unternehmen wie Pemex und Cadena Einnahmeausfälle hinnehmen müssen.