Texas-Metropole Dallas von Ransomware-Angriff lahmgelegt: „Die neue Ära der Datensicherheit“

Royal, der neue aufstrebende Stern am Himmel der Ransomware, hat mit Dallas eine der größten Städte der USA erwischt. Bemerkenswert ist die nicht ganz humorfreie Selbstdarstellung der Gauner.

Dallas, eine 2,6-Millionen-Einwohner-Stadt in Nord-Texas, wurde von einem Cyberangriff getroffen. Der Angriff betrifft viele wichtige Computersysteme, weshalb die öffentliche Verwaltung der neuntgrößten Stadt der Vereinigten Staaten nur noch auf Sparflamme läuft.

Beispielsweise hakte es bei der elektronischen Übermittlung von Notfallmeldungen, weshalb die Polizei diese von Hand aufschreiben und an die Streifen- und Schutzbeamten weitergeben musste. Auch einige Gerichtsprozesse wurden verschoben.

Bei dem Angriff handelt es sich um die Royal-Ransomware, welche die Systeme befallen, die Daten gestohlen und verschlüsselt hat und nun ein Lösegeld verlangt, vermutlich in Bitcoin, um die Daten zu entschlüsseln und nicht zu veröffentlichen.

🚨#BREAKING: City of Dallas disrupted by large cyberattack impacting multiple Services ⁰⁰📌#Dallas | #Texas ⁰
The City of Dallas, in Texas, experienced a large cyberattack that affected many important computer systems. As a result, it became difficult for the city to function… pic.twitter.com/uQI6Jlqdi1

— R A W S A L E R T S (@rawsalerts) May 3, 2023

Interessant und nicht ganz ohne Witz ist das Wording der Hacker in ihrem Erpresserschreiben. Sie empfehlen, die Royal-Webseite im Onion-Netzwerk zu besuchen, um mehr Infos zu erhalten. Auf einer spezifischen Onion-Adresse – das Ende ist im Screenshot leider abgeschnitten – erfährt die Stadtverwaltung vermutlich, wie hoch das Lösegeld ist und wie sie es bezahlen. Nach den bisherigen Erfahrungen mit Royal liegt die Summe zwischen einer und elf Millionen Dollar, zu bezahlen in Bitcoin. Bei einem Fang wie Dallas könnte sie noch darüber liegen.

Das was geschehe, sei erschreckend und klinge kompliziert, schreiben die Hacker, doch sie versichern, dass es eigentlich recht einfach sei: „Am wahrscheinlichsten ist, dass ihr euch entschieden habt, an der Sicherheit zu sparen.“ Daher seien kritische Daten verschlüsselt und gestohlen worden, weshalb die Gefahr bestehe, dass sie im Darknet für jedermann sichtbar werden.

Doch „zum Glück“ hat Royal eingegriffen! Die Ransomware-Bande „bietet euch einen einzigartigen Deal. Für eine kleine Royalty (ihr versteht; ihr versteht?)“ bekommt die Stadtverwaltung ihre Daten zurück und werde so „rechtliche, finanzielle, regulatorische, versicherungstechnische und Ansehens-Schäden“ verhindern. Noch mal Dusel gehabt.

Man spürt förmlich, wie die Hacker beim Verfassen der Nachricht vor Gelächter zusammengeklappt sind, wenn sie mit dem Slogan abschließen: „Probier Royal noch heute aus, um in eine neue Ära der Datensicherheit einzutreten ! Wir freuen uns darauf, von dir zu hören !“ – das Idiotenausrufezeichen ist aus dem Original.

Der Angriff fand am Montag statt. Am Mittwoch räumte die Stadtverwaltung ein, Sicherheitsexperten eingeschaltet zu haben. Diese versuchen nun, die Ransomware auf den betroffenen Computern zu isolieren und die Systeme neu zu starten. Bisher kann die Stadt nicht abschätzen, wie hoch die Schäden sind. Informationen, ob sie das Lösegeld bezahlt, gibt es bisher noch nicht.

An sich sollten sie das nicht. Einerseits, weil in den USA Ransomware teils ähnlich wie Terrorismus gehandelt wird – das Bezahlen des Lösegeldes könnte illegal sein, vor allem, wenn ein Verdacht besteht, dass damit effektiv Sanktionen umgangen werden, etwa nach Russland. Andererseits, weil die Bürgermeister von US-Städten schon 2019 bei einem Kongress beschlossen hat, keine Ransomware-Forderungen zu bezahlen, um den Hackern keine weiteren Anreize zu geben, US-Städte anzugreifen. Doch zumindest dies scheint nicht gelungen zu sein. Laut einem von Bleepingcomputer zitierten Analysten stehen Institutionen des öffentlichen Dienstes in den USA weiterhin im Dauerfeuer von Ransomware. Es komme mehr als einmal je Woche zu einem Angriff. Allein dieses Jahr seien 29 regionale Verwaltungen betroffen, Dallas jedoch sei seit langem die größte Stadt.

Die Royal-Gruppe ist bislang eher unbekannt, scheint aber eine der aktivsten Ransomwaregangs dieser Zeit zu sein. Sie startete Anfang 2022, verwendete zunächst die Technologie von ALPHV/BlackCat verwendet, um nicht auszufallen, begann aber später, ihre eigene Verschlüsselung zu benutzen, Zeon. Ende 2022 war Royal bereits die vermutlich aktivste Gruppe, welche angeblich für 10 Prozent aller Ransomware-Vorfälle in den USA verantwortlich ist.

Royal ist dafür bekannt, nicht nur Schwachstellen in Geräten auszunutzen, die mit dem Internet verbunden sind, sondern sich auch durch Phishing-Kampagnen Zugriff auf interne Netzwerke zu erschleichen. So geben sie sich etwa als Essenslieferant oder Softwareanbieter aus, und bitten um einen Anruf, etwa um ein Abonnement zu verlängern. Die Telefonnummer führt dann zu einem Royal-Mitarbeiter, der das Opfer überzeugt, eine bestimmte Software zu installieren.

Im Prinzip machen es echte Sicherheitsanalysten nicht viel anders: Sie nutzen Exploits und testen den Schutz gegen Phishing und Social Engineering, wenn auch mit einem grundsätzlich anderen Geschäftsmodell. Dass Ransomware-Hacker denselben Job machen, aber dafür mehr Geld bekommen, könnte auf eine Asymmetrie zwischen der Sicherheit und dem Wert digitaler Daten hinweisen.