Die Ransomware-Pandemie greift weiter um sich

Enel, der größte Energieversorger Italiens, wurde von Ransomware befallen und sieht sich mit einer Rekord-Lösegeldforderung konfrontiert. In Finnland haben derweil Hacker die Patientendaten einer Psychiatrie gestohlen und fordern ein Lösegeld, um sie unter Verschluss zu halten. IT-Sicherheit ist in Zeiten der Ransomware-Pandemie eben unvermeidbar.

Als hätte Italien derzeit nicht schon genug Probleme. Das Land schließt coronabedingt die Skigebiete, die Wirtschaft liegt brach, und in den Großstädten drehen die Proteste gegen die Corona-Maßnahmen auf.

Nun ist auch noch das vermutlich größte Unternehmen des Landes von mit einer Ransomware infiziert. Der Energieversorger Enel ist eines der größten Energieunternehmen Europas und operiert in 40 Ländern, von Südafrika bis Kanada und von Argentinien bis Russland. Auf der Forbes-Liste der 2000 größten Unternehmen rangiert es als einziges italienisches Unternehmen in den Top-100 (und zwar auf Platz 97).

Infiziert wurde Enel mit der Ransomware Netlocker, einem der aufstrebenden großen Inkarnationen der Ransomware. Laut einem Bericht der Analysten von McAffee wurde Netlocker erstmals im August 2019 gesichtet; seine Betreiber bzw. Besitzer demonstrieren einen hohen Grad an Professionalität und vermarkten ihn durch ein „Ransomware-as-a-Service (RaasS)“ Modell. „Unsere Forschungen legen nahe, dass die Malware-Betreiber ein weites Spektrum technisch erfahrener und unternehmenslustiger krimineller Verbündeter anzieht.“

Zwischen März und August 2020 konnten die Analysten Lösegeldzahlungen über 2795 Bitcoin feststellen (etwa 31 Millionen Euro), woraus sie schließen, dass die Ransomware-Betreiber gut in der Lage seien, ihre Forderungen durchzusetzen. Netlocker bestätigt perfekt die Professionalisierung des Cybercrimes, vor der Europol so eindringlich warnt.

Von Enel hat Netlocker zunächst angeblich fünf Terabyte an Daten gestohlen und danach verschlüsselt. Um diese Daten nicht auf dem Schwarzmarkt zu verkaufen und den Schlüssel herauszurücken, verlangen die Betreiber 1.234 Bitcoin, also etwa 14 Millionen Euro. Dies wäre der höchste mir bekannte Betrag, den jemals eine Ransomware verlangt hat.

Statements von Enel liegen bislang nicht vor. Daher weiß man nicht, wie das Unternehmen mit dem Vorfall umgeht und ob die Polizei eingeschaltet wurde.

Sensibel Patientendaten vom Server geklaut

Eine weniger große, aber für die Betroffenen vermutlich tragischere Ransomware-Episode ereignete sich in Finnland. Die private psychiatrische Klinik Vastaamo, die Filialen in ganz Finnland betreibt, wurde von einer Ransomware befallen, die die Patientendaten von bis zu 40.000 Patienten entwendete.

Highly unusual ransom case underway here in Finland: a private psychotherapy clinic was hacked, and the therapist notes for maybe even 40,000 patients were stolen. Now the attacker has emailed the victims, asking each for 200 € ransom in Bitcoin. #vastaamo

— @mikko (@mikko) October 24, 2020

Auf einer Tor-Webseite stellte der Hacker wie üblich Auszüge der Daten bereit, um zu beweisen, dass er nicht mit leeren Händen drohte. Anschließend hat er wohl von der Firma 400.000 Euro in Bitcoin verlangt, um die Daten nicht zu veröffentlichen, was diese laut einer Blockchain-Analyse auch schon gezahlt hat. Der Hacker hingegen behauptete, die Klinik habe nicht bezahlt, weshalb er die Patienten einzeln anschrieb, um je Person 200 Euro in Bitcoin zu verlangen.

Konkrete Details, um welche Art von Ransomware es sich handelt, sind nicht bekannt. Dem BBC gelang es allerdings, mit einem der Opfer zu reden, das erklärte, dass der Hacker ihm Notizen gezeigt habe, die er in ein Buch eingetragen habe, und von denen er nicht wusste, dass sie überhaupt auf einen Server geladen werden.

Bei aller Skrupellosigkeit des Hackers, sich an den Verletzlichsten zu bedienen und diese mit dem zu bedrohen, was sie am tiefsten trifft – die Klinik muss sich der Erkenntnis stellen, dass viele Probleme mit Daten erst entstehen, weil es diese Daten gibt. Man muss private Notizen von Patienten nicht auf einen Server hochladen. Wenn sie denn schon digital sein müssen – wenn! – dann könnte man sie auch einfach auf einen „kalten“ Computer einspielen.

Auch die Sicherheit des Servers der Klinik lässt offenbar zu wünschen übrig. Laut einem finnischen Spezialisten für den E-Kommerz hat Vastaamo schon im Jahr 2018 nach einem Hack Daten verloren. Das System sei nach den Richtlinien der Regierung als „B-Klasse“ eingestuft, was bedeutet, dass es keine Sicherheitsaudits benötigt. Daher waren keine Best-Practices angewandt worden, während der Server öffentlich ohne eine VPN-Zwischenschaltung am Netz hing. Darüberhinaus lief der Server auf der nicht-aktualisierten Open-Source-Software Apache und PHP. Diese Mischung dürfte eine Einladung für Hacker sein, die das Internet mit Skripten durchstöbern, um Schwachstellen aufzufinden.

Selbstverständlich ist eine Klinik kein IT-Unternehmen und investiert ihre Ressourcen nicht in Computersicherheit, sondern in psychiatrische Kompetenzen. Das ist an sich auch richtig so – kann aber in Zeiten einer Ransomware-Pandemie dazu führen, dass sie am Ende nicht mehr, sondern weniger Ressourcen für ihre eigene Arbeit verfügbar hat.