Bericht über Ransomware in den USA (1.–3. Quartal 2019)

In den ersten neun Monaten von 2019 waren mindestens 621 öffentliche Einrichtungen, Gesundheitsanbieter sowie Schulbezirke, Hochschulen und Universitäten von Ransomware betroffen. Die Angriffe sorgten für massive Störungen. Hierzu gehörten neben Datenverlust beispielsweise, dass Verwaltungs- und Notfalldienste unterbrochen waren, medizinische Praxen und Schulen geschlossen wurden, Patienten auf andere Notaufnahmen umgeleitet und medizinische Behandlungen abgesagt werden mussten, Immobiliengeschäfte zum Stillstand kamen und Grundsteuern und Wasserrechnungen verspätet eingezogen wurden.

Bundesstaaten, Bezirke und Gemeinden

Seit Anfang des Jahres gehörten mindestens 68 öffentliche Einrichtungen auf Bundes-, Bezirks- und Gemeindeebene zu den Opfern. Hier einige Beispiele:

• Lake City: Im Juni wurde Lake City Opfer von Ryuk. Das Lösegeld in Höhe von 460 000 USD wurde von einer Versicherung übernommen (bei 10 000 USD Selbstbehalt). Der Leiter der IT-Abteilung wurde entlassen und hat nun die Stadt verklagt. Es konnten nicht alle Daten wiederhergestellt werden.
• Baltimore: Im Mai traf ein Ransomware-Angriff mit Baltimore die zweite US-amerikanische Stadt. Diesmal handelte es sich um den Schädling RobbinHood. Die Stadt weigerte sich, das Lösegeld in Höhe von 76 000 USD zu bezahlen. Der Angriff sorgte für eine weitreichende Störung der Verwaltungsdienste, wodurch es unter anderem auch zu verspäteten Immobiliengeschäften sowie Steuer- und Wasserabrechnungen kam. Die Wiederherstellungskosten werden auf 18,2 Millionen USD geschätzt.
• New Bedford: Im Juli wurden die Systeme von New Bedford infiziert und die Stadt erhielt die bis dato wahrscheinlich höchste (öffentlich bekannt gegebene) Lösegeldforderung in Höhe von 5,3 Millionen USD. Das Gegenangebot der Stadt von 400 000 USD wurde abgelehnt. Die Wiederherstellungskosten liegen schätzungsweise unter 1 Million USD und werden von einer Versicherung übernommen.

Bildungssektor

In mindestens 62 Fällen waren Schulbezirke und andere Bildungseinrichtungen betroffen, was die Abläufe in bis zu 1 051 Schulen, Hochschulen und Universitäten beeinträchtigte.

• Schulbezirk Rockville Centre: Der über sieben Schulen verfügende Schulbezirk von Rockville Centre wurde im Juli Opfer eines Ryuk-Angriffs. Das Lösegeld wurde von einer Versicherung übernommen, die den Betrag von 176 000 USD auf 88 000 USD herunterhandeln konnte. Dem Schulbezirk selbst blieb ein Selbstbehalt von 10 000 USD.
• Öffentliche Schulen in Louisiana: Ebenfalls im Juli wurden die Schulbezirke der drei Gemeinden Sabine, Morehouse und Ouachita im US-Bundesstaat North Louisiana von Ransomware getroffen. Infolgedessen erklärte Gouverneur John Bel Edwards den Notstand, wodurch staatliche Ressourcen (z. B. Cyber Sicherheitsexperten der Nationalgarde und der Polizei von Louisiana sowie des Amtes für technische Dienste „OTech“ und weitere) für die betroffenen Schulen bereitgestellt werden konnten.
• Schulbezirk Moses Lake: Auch der Schulbezirk Moses Lake mit seinen 16 Schulen blieb im Juli nicht verschont und musste einen Ransomware-Angriff über sich ergehen lassen, der von einer IP-Adresse in Moskau ausging. Der Bezirk weigerte sich, das Lösegeld in Höhe von 1 Million USD zu bezahlen, und entschied sich stattdessen, die Systeme neu aufzusetzen. Dazu sollten auf Servern offline gespeicherte Sicherungen verwendet werden, die allerdings schon 4 bis 5 Monate alt waren.

Gesundheitssektor

Auch das Gesundheitswesen gewinnt als Ransomware-Ziel immer mehr an Beliebtheit. Cyberkriminelle sind sich bewusst, dass Opfer hier eher dazu geneigt sind, das Lösegeld zu bezahlen, da ein Datenverlust Leben in Gefahr bringt. Zwischen dem ersten und dritten Quartal gab es insgesamt 491 Ransomware-Angriffe auf Anbieter im Gesundheitssektor, beispielsweise auf:

• Park DuValle Community Health Center: Im Juni konnte das Park DuValle Community Health Center aufgrund eines Ransomware-Angriffs nicht mehr auf seine Krankenakten, Kontaktdaten von Patienten sowie Versicherungsangaben zugreifen. Sieben Wochen lang konnten die vier Park-DuValle-Kliniken keine Termine machen und Mitarbeiter mussten wieder konventionell mit Papier und Stift arbeiten. Das Klinikum entschied sich schließlich, das Lösegeld in Höhe von 70 000 USD zu bezahlen.
• PerCSoft: PerCSoft ist ein Cloud-Verwaltungsdienstleister, der Sicherungslösungen für Zahnarztpraxen in den USA bereitstellt. Als das Unternehmen Ende August Opfer der Ransomware Sodinokibi wurde, konnten ungefähr 400 Praxen nicht mehr auf ihre Patienteninformationen zugreifen. Einigen Quellen zufolge wurde das Lösegeld bezahlt, wobei jedoch kein Betrag genannt wurde.
• Campbell County Health: Im September sorgte schließlich im Campbell County Health in Wyoming ein Ransomware-Angriff für weitreichende Störungen. Es konnten keine Patienten aufgenommen werden, Operationen mussten abgesagt werden und Notfallpatienten wurden in andere Krankenhäuser umgeleitet. Zwei ebenfalls mit Campbell County Health vernetzte Einrichtungen waren von dem Angriff ebenfalls betroffen.

Trends

• Zunehmend Angriffe über MSPs: Cyberkriminelle haben es zunehmend auf Software abgesehen, die von MSPs (Managed Service Provider) und anderen Anbietern von Drittdiensten eingesetzt werden. Auf diese Weise lassen sich gleich mehrere Kunden des MSP oder Dienstleisters gleichzeitig erwischen. Das war beispielsweise im August der Fall, als 22 Städte in Texas Opfer eines derartigen Angriffs wurden.
• Zunehmend höhere Lösegeldforderungen: Die Höhe des durchschnittlichen Lösegeldes ist im Jahr 2019 kontinuierlich angestiegen. Wie jedes Unternehmen wollen auch kriminelle Geschäftemacher ihre Gewinne maximieren und fordern daher möglichst hohe Preise für ihre „Dienste“. Wenn ein Unternehmen also dazu bereit ist, 500 000 USD zu bezahlen, zahlt das nächste vielleicht auch 600 000 USD.
• Cyberversicherungen: Bei versicherten Opfern ist es wahrscheinlicher, dass das Lösegeld bezahlt wird. Dadurch wird Ransomware noch lohnenswerter, was wiederum Anreiz für weitere Angriffe schafft. Lesen Sie hierzu auch den Bericht The Extortion Economy: How Insurance Companies Are Fueling a Rise in Ransomware Attacks von ProPublica.
• E-Mail und Remotedesktopprotokoll: E-Mails, Anhänge und das RDP bleiben auch weiterhin beliebte Angriffspunkte. Letzteres ist besonders durch nicht aktualisierte Systeme, falsch konfigurierte Sicherheitseinstellungen sowie Brute-Force-Angriffe auf schwache Anmeldedaten anfällig.

Finanzielle Auswirkungen

Da nicht genug veröffentlichte Daten vorliegen, ist es nur sehr schwer, die möglichen Kosten dieser Vorfälle abzuschätzen. In Baltimore beliefen sich die Schätzungen auf 18,2 Millionen USD und in Albany (US-Bundesstaat New York), wo die Daten aufgrund von Sicherungen wieder hergestellt werden konnten, auf 300 000 USD. Ein relativ kleiner Anbieter im Gesundheitswesen schätzte seine Ausfallkosten hingegen auf 30 000 bis 50 000 USD pro Tag. Sollten die Kosten in allen anderen Fällen ähnlich wie in Albany ausgefallen sein, würde sich der Gesamtschaden für die 621 Vorfälle auf 186 300 000 USD belaufen. Die tatsächlichen Kosten könnten jedoch erheblich höher ausgefallen sein. Gus Genter, CIO von Winnebago County, kürzlich dazu: „Statistiken zufolge liegen die durchschnittlichen Kosten für einen Ransomware-Zwischenfall bei 8,1 Millionen USD und 287 Tagen für die Wiederherstellung.“ Wir können die Richtigkeit dieser Aussage weder bestätigen noch widerlegen. Sollte sie jedoch tatsächlich stimmen, würden die Gesamtkosten sogar über 5 Milliarden USD betragen.

Hierbei muss angemerkt werden, dass nicht alle Kosten direkt mit dem Ransomware-Angriff selbst in Verbindung stehen. Oftmals entfällt ein Teil davon darauf, die in den vergangenen Jahren vernachlässigten Investitionen in die IT nachzuholen.

Fazit

„Es gibt keinen Anlass davon auszugehen, dass die Zahl der Angriffe in den kommenden Jahren abnehmen wird“, erklärt Fabian Wosar, CTO bei Emsisoft. „Unternehmen stehen vor einer relativ einfachen Entscheidung: jetzt vorbereitet sein oder später zahlen.“

Wiederherstellungsmöglichkeiten für betroffene Einrichtungen

Manchmal lassen sich die Wiederherstellungskosten senken. Wir haben beispielsweise für zwei Ransomware-Arten, die häufig für Angriffe auf öffentliche Einrichtungen eingesetzt werden, Abhilfemaßnahmen entwickelt. In einigen Fällen ist damit gar keine Zahlung erforderlich und in anderen fallen zumindest die Wiederherstellungskosten erheblich niedriger als die Lösegeldforderung aus.

Ob alle betroffenen Einrichtungen von diesen Abhilfemaßnahmen wussten, ist nicht bekannt.

Bessere Kooperation zwischen privatem und öffentlichem Sektor erforderlich

Eine Verbesserung der Zusammenarbeit und der Kommunikationskanäle zwischen dem privaten Sektor und den Strafverfolgungsbehörden würde dazu beitragen, dass Betroffene besser über mögliche Lösungen und Abhilfemaßnahmen zur Minimierung der Wiederherstellungskosten informiert wären.

Immerhin gab es dazu bereits einige Schritte in die richtige Richtung: etwa der DHS Cyber Hunt and Incident Response Teams Act, der kürzlich vom US-Senat beschlossen wurde.

Anmerkung

Dieser Bericht umfasst nur öffentlich bekannte Vorkommnisse. Da die Fälle nicht zentral gemeldet/aufgezeichnet werden und sämtliche Daten aus Pressemeldungen zusammengetragen wurden, können die hier aufgeführten Zahlen durchaus niedriger als die tatsächlichen Summen ausfallen.

Übersetzung: Doreen Schäfer