Die Ransomware-Pandemie greift weiter um sich

"Ransom" von joiz via flickr.com. Lizenz: Creative Commons

Enel, der größte Energieversorger Italiens, wurde von Ransomware befallen und sieht sich mit einer Rekord-Lösegeldforderung konfrontiert. In Finnland haben derweil Hacker die Patientendaten einer Psychiatrie gestohlen und fordern ein Lösegeld, um sie unter Verschluss zu halten. IT-Sicherheit ist in Zeiten der Ransomware-Pandemie eben unvermeidbar.

Als hätte Italien derzeit nicht schon genug Probleme. Das Land schließt coronabedingt die Skigebiete, die Wirtschaft liegt brach, und in den Großstädten drehen die Proteste gegen die Corona-Maßnahmen auf.

Nun ist auch noch das vermutlich größte Unternehmen des Landes von mit einer Ransomware infiziert. Der Energieversorger Enel ist eines der größten Energieunternehmen Europas und operiert in 40 Ländern, von Südafrika bis Kanada und von Argentinien bis Russland. Auf der Forbes-Liste der 2000 größten Unternehmen rangiert es als einziges italienisches Unternehmen in den Top-100 (und zwar auf Platz 97).

Infiziert wurde Enel mit der Ransomware Netlocker, einem der aufstrebenden großen Inkarnationen der Ransomware. Laut einem Bericht der Analysten von McAffee wurde Netlocker erstmals im August 2019 gesichtet; seine Betreiber bzw. Besitzer demonstrieren einen hohen Grad an Professionalität und vermarkten ihn durch ein „Ransomware-as-a-Service (RaasS)“ Modell. „Unsere Forschungen legen nahe, dass die Malware-Betreiber ein weites Spektrum technisch erfahrener und unternehmenslustiger krimineller Verbündeter anzieht.“

Zwischen März und August 2020 konnten die Analysten Lösegeldzahlungen über 2795 Bitcoin feststellen (etwa 31 Millionen Euro), woraus sie schließen, dass die Ransomware-Betreiber gut in der Lage seien, ihre Forderungen durchzusetzen. Netlocker bestätigt perfekt die Professionalisierung des Cybercrimes, vor der Europol so eindringlich warnt.

Von Enel hat Netlocker zunächst angeblich fünf Terabyte an Daten gestohlen und danach verschlüsselt. Um diese Daten nicht auf dem Schwarzmarkt zu verkaufen und den Schlüssel herauszurücken, verlangen die Betreiber 1.234 Bitcoin, also etwa 14 Millionen Euro. Dies wäre der höchste mir bekannte Betrag, den jemals eine Ransomware verlangt hat.

Statements von Enel liegen bislang nicht vor. Daher weiß man nicht, wie das Unternehmen mit dem Vorfall umgeht und ob die Polizei eingeschaltet wurde.

Sensibel Patientendaten vom Server geklaut

Eine weniger große, aber für die Betroffenen vermutlich tragischere Ransomware-Episode ereignete sich in Finnland. Die private psychiatrische Klinik Vastaamo, die Filialen in ganz Finnland betreibt, wurde von einer Ransomware befallen, die die Patientendaten von bis zu 40.000 Patienten entwendete.

Auf einer Tor-Webseite stellte der Hacker wie üblich Auszüge der Daten bereit, um zu beweisen, dass er nicht mit leeren Händen drohte. Anschließend hat er wohl von der Firma 400.000 Euro in Bitcoin verlangt, um die Daten nicht zu veröffentlichen, was diese laut einer Blockchain-Analyse auch schon gezahlt hat. Der Hacker hingegen behauptete, die Klinik habe nicht bezahlt, weshalb er die Patienten einzeln anschrieb, um je Person 200 Euro in Bitcoin zu verlangen.

Konkrete Details, um welche Art von Ransomware es sich handelt, sind nicht bekannt. Dem BBC gelang es allerdings, mit einem der Opfer zu reden, das erklärte, dass der Hacker ihm Notizen gezeigt habe, die er in ein Buch eingetragen habe, und von denen er nicht wusste, dass sie überhaupt auf einen Server geladen werden.

Bei aller Skrupellosigkeit des Hackers, sich an den Verletzlichsten zu bedienen und diese mit dem zu bedrohen, was sie am tiefsten trifft – die Klinik muss sich der Erkenntnis stellen, dass viele Probleme mit Daten erst entstehen, weil es diese Daten gibt. Man muss private Notizen von Patienten nicht auf einen Server hochladen. Wenn sie denn schon digital sein müssen – wenn! – dann könnte man sie auch einfach auf einen „kalten“ Computer einspielen.

Auch die Sicherheit des Servers der Klinik lässt offenbar zu wünschen übrig. Laut einem finnischen Spezialisten für den E-Kommerz hat Vastaamo schon im Jahr 2018 nach einem Hack Daten verloren. Das System sei nach den Richtlinien der Regierung als „B-Klasse“ eingestuft, was bedeutet, dass es keine Sicherheitsaudits benötigt. Daher waren keine Best-Practices angewandt worden, während der Server öffentlich ohne eine VPN-Zwischenschaltung am Netz hing. Darüberhinaus lief der Server auf der nicht-aktualisierten Open-Source-Software Apache und PHP. Diese Mischung dürfte eine Einladung für Hacker sein, die das Internet mit Skripten durchstöbern, um Schwachstellen aufzufinden.

Selbstverständlich ist eine Klinik kein IT-Unternehmen und investiert ihre Ressourcen nicht in Computersicherheit, sondern in psychiatrische Kompetenzen. Das ist an sich auch richtig so – kann aber in Zeiten einer Ransomware-Pandemie dazu führen, dass sie am Ende nicht mehr, sondern weniger Ressourcen für ihre eigene Arbeit verfügbar hat.

Über Christoph Bergmann (1902 Beiträge)
Das Bitcoinblog wird von Bitcoin.de gesponsort, ist inhaltlich aber unabhängig und gibt die Meinung des Redakteurs Christoph Bergmann wieder. Christoph hat vor kurzem ein Buch geschrieben: Bitcoin: Die verrückte Geschichte vom Aufstieg eines neuen Geldes. Das Buch stellt Bitcoin in seiner ganzen Pracht dar. Ihr könnt es direkt auf der Webseite Bitcoin-Buch.org bestellen - natürlich auch mit Bitcoin - oder auch per Amazon. Natürlich freuen wir uns auch über Spenden in Bitcoin, Bitcoin Cash oder Bitcoin SV an die folgende Adresse: 1BergmanNpFqZwALMRe8GHJqGhtEFD3xMw. Wer will, kann uns auch Hier mit Lightning spenden. Tipps für Stories sind an christoph.bergmann@mailbox.org immer erwünscht. Wer dies privat machen möchte, sollte meinen PGP-Schlüssel verwenden.

Ein Kommentar zu Die Ransomware-Pandemie greift weiter um sich

  1. Paul Janowitz // 28. Oktober 2020 um 20:04 // Antworten

    Ransomware ist leider eine Pest, aber dafür können Kryptowährungen nichts, wir haben als Teenager in der FXP-Szene auch (vornehmlich) Microsoft IIS Server „gehackt“ und FTPs aufgesetzt, um Releases zu verbreiten. Der Schaden war vielleicht nicht direkt monetär, aber für den Traffic mussten die Betreiber in der Regel aufkommen und das waren dann gerne etliche Terrabyte, schon damals ca. um die Jahrhundertwende. Natürlich haben wir entsprechende IP Ranges von großen Unternehmen oder Universitäten gescannt, zu Hause war ISDN, vielleicht mit Kanalbündelung bereits ein Segen… Aber wir haben damals immer darauf geachtet, nichts zu zerstören, meistens wurden die Server sogar noch gepatcht, damit sie lange halten, indirekt war das also für manche Betreiber sogar positiv, weil sie den Admin (unbewusst) mit Bandbreite bezahlt haben. Solche Server waren teilweise sogar über Jahre online, ohne dass jemandem der immense Traffic aufgefallen wäre…
    Wenn aber Krankenhäuser betroffen sind und von relevanten Daten ausgeschlossen werden, ist das nicht hinnehmbar, auch wenn es auf Inkompetenz oder Einsparung bei Sysadmins zurückzuführen ist.

    Ziemlich lustig fand ich dagegen das hier, auch wenn die Hacker wenig Ahnung von der Materie haben dürften, denn sie haben zwar ein Betting für oder gegen die Veröffentlichung von Daten (wobei fraglich ist dass im Besitz derer sind) aufgesetzt haben, aber leider ohne View-Keys mit denen man das verfolgen könnten. Auch die Veröffentlichung einer Adresse mit 4 beginnend und einer mit 8 dürfte eher schludrig sein, denn die 4-er ist die Hauptadresse einer Wallet, die 8-er sind Subadressen, wahrscheinlich ist also ein und die selbe Wallet:

    Bei Trumps Kampagnenseite ist das eher ein geringer Schaden oder je nach Ansicht vielleicht sogar ein Segen 😉

Schreiben Sie einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Wechseln )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Wechseln )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Wechseln )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Wechseln )

Verbinde mit %s