In den vergangenen Wochen wurden etliche Städte im Süden der USA Opfer von Ransomware und in vielen Fällen blieb den jeweiligen Stadtoberhäuptern keine andere Wahl, als die Forderungen der Angreifer zu erfüllen.
In diesem Artikel zeigen wir Ihnen, wie diese Angriffe funktionieren und welchen Schaden sie in den Gemeinden angerichtet haben.
Ransomware-Angriff in Riviera Beach
Im Mai 2019 wurden die Computersysteme von Riviera Beach im US-Bundesstaat Florida außer Gefecht gesetzt, nachdem ein Mitarbeiter in einem Polizeirevier einen infizierten E-Mail-Anhang geöffnet hatte. Die Ransomware legte die E-Mail- und Telefonsysteme sowie die Zahlungsdienste der Versorger lahm.
Schlussendlich gab die Stadt den Forderungen der Hacker nach und bezahlte fast 600 000 USD, um wieder Zugriff ihre Daten zu erhalten. Wir können zwar nicht mit Sicherheit sagen, um welche Ransomware es sich dabei handelte, aber Experten gehen davon aus, dass es Ryuk war. Diese Ransomware-Version trat erstmals im August 2018 in Erscheinung.
Ransomware-Angriff in Lake City
Einige Wochen später geriet eine weitere Stadt in Florida in eine ähnliche Bredouille. Am 10. Juni öffnete ein Mitarbeiter der Stadtverwaltung unabsichtlich eine bösartige E-Mail, was zu einer weitreichenden Störung sämtlicher Kommunikations- und Online-Zahlungsdienste der Stadt führte. Auch hier stimmten die Stadtoberhäupter zu, den Hackern das Lösegeld zu bezahlen: in diesem Fall lockere 460 000 USD.
Ransomware-Angriff in Key Biscayne
Doch damit nicht genug für Florida. Kurz nach dem Zwischenfall in Lake City wurde Key Biscayne Ziel eines Cyberangriffs. Offiziellen Berichten zufolge waren die Systeme binnen weniger Tage wieder online und betriebsbereit. Es wurde allerdings kein Kommentar abgegeben, ob dazu eine Lösegeldzahlung erfolgt war.
Ransomware-Angriff in Collierville
Am 18. Juli fiel die Stadt Collierville im US-Bundesstaat Tennessee Ryuk zum Opfer. Der Schädling hatte vor allem Computer von Mitarbeitern der Stadtverwaltung infiziert, wodurch etliche Systeme für mehrere Tage offline genommen werden mussten. Den Empfehlungen des FBI folgend war die Stadt nicht mit den Hackern in Kontakt oder Verhandlungen getreten. Ein Sprecher meinte, es könnte Wochen dauern, die Systeme wieder in ihren Normalzustand zu versetzen.
Ransomware-Angriff in Louisiana
Ende Juli waren die IT-Netzwerke von drei Schulbezirken (Sabine, Morehouse und Ouachita) in Louisiana aufgrund von Ransomware ausgefallen. Daraufhin hatte John Bel Edwards, der Gouverneur von Louisiana, den Notstand ausgerufen. Das bedeutet, das staatliche Mittel zur Verfügung gestellt werden, um die Krise zu beheben und das Risiko eines weiteren Datenverlusts zu senken.
Ransomware-Angriff in Georgia (Abteilung für öffentliche Sicherheit)
Eine Ransomware-Infektion in der Abteilung für öffentliche Sicherheit (Department of Public Safety – DPS) von Georgia hatte am 26. Juli zahlreiche Polizeibehörden (z. B. Staatspolizei und Verkehrssicherheit) getroffen. Aufgrund der Infektion hatten die Laptops der Polizeiautos keine Verbindung mehr zu den Servern, so dass unterwegs keine Informationen mehr abgerufen werden konnten. Während die Systeme wiederhergestellt werden, greifen die Beamten auf ältere Kommunikationskanäle zurück.
Laut David Allen, dem leitenden Beamten für Informationssicherheit des DPS, ist eine Zahlung keine Option.
„Es gehört nicht zu unserer Politik, ein Lösegeld zu zahlen“, meint Allen (Quelle: GovTech). „Offen gesagt schaue ich mir nicht einmal die Dateien an, die sie hinterlassen, wie man mit ihnen Kontakt aufnehmen kann. Ich bin auch nicht der Meinung, dass die Zahlung [des Lösegelds] günstiger ist. Denn selbst wenn Sie zahlen und einen Teil Ihres Systems wieder entschlüsseln können, läuft das nicht immer sauber ab.“
Ransomware-Angriffe in Texas
Es ist überaus selten, dass Ransomware-Gruppen mehrere Gemeinden gleichzeitig angreifen, aber genau das war Mitte August der Fall als Cyberkriminelle in Texas einen koordinierten Angriff durchführten.
22 Städte in ganz Texas waren davon betroffen. Namentlich bekannt sind davon bisher nur Borger und Keene. Einigen Informationen zufolge handelte es sich erneut um den Schädling Ryuk, der bereits in etlichen anderen Angriffen eingesetzt wurde. Andere Quellen berichten von einer Ransomware-Version, die unter dem Namen Sodinokibi bekannt ist.
Wie werden Städte mit Ransomware infiziert?
Für die verschiedenen Versionen und Kampagnen gibt es unterschiedliche Infektionsmethoden. Es wird davon ausgegangen, dass die Ransomware Ryuk hinter einer Vielzahl der Angriffe im Süden der USA steckt.
Analysen haben ergeben, dass Ryuk in Kombination mit anderen Malware-Arten eingesetzt wird, um eine Dreifachbedrohung – wie es etwa hier beschrieben wird – zu erstellen. Dabei handelt es sich um einen ausgefeilten Angriff, der einen dreistufigen Ansatz verfolgt.
Wie haben eine kleine Übersicht erstellt, wie eine typische Kampagne aussehen könnte.
1. Emotet
Zunächst verschicken die Cyberkriminellen Spam-E-Mails an große Unternehmen. Wird dann der schädliche Anhang von einem sorglosen Mitarbeiter geöffnet, wird mithilfe von PowerShell Emotet installiert. Emotet wurde bisher vorrangig dafür eingesetzt, Bankzugangsdaten zu stehlen. Durch seine modulare Architektur kann der Schädling jedoch auch als sogenannter Dropper verwendet werden, um andere Malware zu installieren.
Nachdem es seit Anfang Juni ruhig um Emotet war, ist der Schädling kürzlich wieder in Erscheinung getreten. Experten gehen davon aus, dass die Betreiber in dieser Ruhephase möglicherweise Wartungsarbeiten an den Servern durchgeführt haben.
2. TrickBot
Als nächstes lädt Emotet von einem vorkonfigurierten bösartigen Host den TrickBot-Trojaner herunter und führt ihn aus. Ähnlich wie Emotet wird dieser modulare Trojaner in der Regel dafür verwendet, Bankzugangsdaten abzugreifen. Doch auch diese Schadsoftware kann andere Aufgaben ausführen, allem voran das Herunterladen und Installieren weiterer Malware. In diesem Fall handelt es sich um Ryuk.
TrickBot wird häufig über die EternalBlue-Sicherheitslücke verbreitet, die angeblich ursprünglich von der NSA entwickelt worden war und seitdem für zahlreiche große Ransomware-Angriffe wie WannaCry und Petya ausgenutzt wurde. Bei den Angriffen in Florida spielte die EternalBlue-Schwachstelle jedoch keine Rolle. Sie waren auf Benutzerfehler zurückzuführen.
3. Ryuk
Nachdem TrickBot installiert wurde und die Angreifer bestätigen konnten, dass der infizierte Computer ein lohnendes Ziel abgibt, kommt die Ryuk-Ransomware zum Einsatz. Sobald das Gerät mit ihr infiziert ist, beginnt die Verschlüsselung der Dateien.
Wer bezahlt das Lösegeld?
Während einige öffentliche Einrichtungen eine strikte Nichtzahlungspolitik verfolgen, ist für andere das Bezahlen der Hacker ein letzter Ausweg. In einigen Fällen fehlt betroffenen Organisationen eine starke Wiederherstellungsstrategie, so dass die Wiederherstellung der Systeme nicht möglich oder zu zeitaufwendig ist. Mitunter ist die Zahlung des Lösegeldes auch schlicht günstiger als die durch den Systemausfall entstehenden Kosten.
Beim Angriff in Riviera Beach war ein Großteil der Lösegeldzahlung durch eine Cyberversicherung der Stadt gedeckt, weshalb die Stadt „nur“ 25 000 USD Selbstbehalt zahlen musste. Ähnlich erging es auch Lake City, wo das Lösegeld von der Versicherung beglichen wurde, nachdem die Stadt 10 000 USD Selbstbehalt bezahlt hatte. Leider werden diese Selbstbehalte höchstwahrscheinlich auf dem Rücken der Steuerzahler ausgetragen, sobald die Städte ihre Versicherungspolicen erneuern.
Emsisoft-Forscher konnten Ryuk in 3–5 Prozent der Fälle erfolgreich entschlüsseln.
Wieso werden die Bundesstaaten im Süden so stark angegriffen?
In den vergangen Wochen wurde der Süden der USA verstärkt zum Ziel von Ransomware-Angriffen. Der wesentliche Grund dafür dürfte darin liegen, dass die Cyberkriminellen sich der Zahlungsbereitschaft einiger Gemeinden durchaus bewusst sind.
Wie jedes andere Unternehmen auch verfolgen Kriminelle natürlich Strategien, die sich bewährt haben. Die hohen Zahlungen von Riviera Beach und Lake City ermutigen geradezu zu ähnlichen Angriffen in der Region.
Dabei muss allerdings immer wieder betont werden, dass Ransomware-Angriffe nicht regional begrenzt sind. Jede Organisation – unabhängig von Standort, Größe oder Einkommen – muss sich bewusst sein, dass sie jederzeit zum Ziel von derartigen Angriffen werden kann.
Die Gemeinden im Süden sind nur die letzten Opfer in einer langen Kette von Ransomware-Angriffen auf lokale öffentliche Einrichtungen in den USA. In diesem Artikel haben wir uns näher mit diesem Trend befasst.
Übersetzung: Doreen Schäfer