Datenkidnapper mit Spesenkonto

Mai 9, 2022
by Martin Babry

Die Botschaft war eindeutig und brachte die Situation in nicht gerade poetischen Worten auf den Punkt: “You are fucked!”, stand in großen Lettern auf dem Bildschirm. Gefolgt von einem Link ins Darknet, jenem Ort im World Wide Web der den Wilden Westen der virtuellen Welt darstellt. Es war die einzige digitale Option die sämtlichen Mitarbeitern des österreichischen Molkereibetriebs “Salzburg Milch” in jener Juninacht noch übrigblieb.

Denn alle Systeme des über 350 Mitarbeiter zählenden Betriebs waren offline, alle Daten des Unternehmens verschlüsselt. Um den Schlüssel zurückzuerlangen, müsse den Hackern hinter der Aktion ein beträchtliches Lösegeld in Crypto Währung überwiesen werden, informierte die Zielseite im Darknet. Kein Einzelfall, wie Daten belegen.

20 Angriffe pro Sekunde

Mehr als 620 Millionen Ransomware Angriffe soll es 2021 weltweit gegeben haben. Nicht nur die Ist-Situation ist erschreckend, sondern auch der Trend, stellt die Zahl doch ein mehr als 100-prozentiges Wachstum der Attacken im Vergleich zum Vorjahr dar. Über 220 Milliarden Euro soll das Phänomen Ransomware Schätzungen zufolge allein die deutsche Wirtschaft im Jahr 2020 gekostet haben.

Das Prinzip dahinter ist denkbar einfach. Über Sicherheitslücken, aber immer öfter über Phishing und Social Engineering, platzieren Hacker Malware in der IT-Infrastruktur von Organisationen. Diese schlägt dann, mit Vorliebe am Wochenende nachts zu, wenn die Reaktionszeiten am längsten sind.

Die Attacken sind im bereits erwähnten Darknet mittlerweile als Ransomware as a Service (RaaS) buchbar. Monatliche oder jährlichen Abonnements, Kundenservice mit inbegriffen, werden von Hackergruppen auf der ganzen Welt angeboten, um deren Software und Knowhow bei der Erpressung von Unternehmen, Bildungseinrichtungen und vielem mehr zu nutzen.

Die durchschnittliche Lösegeldforderung ist zwischen 2018 und 2020 von 5.000 auf 200.000 EUR gestiegen. Es kann jedoch noch teurer kommen, die Rekordforderung von Hackern liegt bis dato bei 70 Millionen USD, die bestätigte gezahlte Rekordsumme bei immer noch stattlichen 40 Millionen USD. In der Tat bezahlen weltweit rund 27% der Unternehmen schlussendlich auch das Lösegeld, in Deutschland sind es 12%.

Die Konsequenzen für die betroffenen Unternehmen sind unterdessen massiv. Die durch die Attacken bedingte durchschnittliche Ausfallszeit beträgt nicht weniger als 21 Tage – bei durchschnittlichen Wiederherstellungskosten von 1,85 Millionen Dollar.

Was im konkreten Fall der Salzburg Milch bedeutete, wochenlang Lagerbestände manuell zu zählen, mit Stift auf Papier festzuhalten und Rechnungen per Hand auszustellen. Ganz zu schweigen von den unzähligen Überstunden der IT-Verantwortlichen.

“Von jetzt auf gleich ins Mittelalter”

So geschehen auch bei der norddeutschen Gesellschaft „Die Mürwiker“, die Werkstätten und Wohnangebote für Menschen mit Assistenzbedarf betreiben. Auch hier schlugen im Februar 2021 Hacker zu und verschlüsselten sämtliche Daten des Unternehmens. Zwei Monate später beschrieb das Unternehmen seine Erfahrungen in einer Pressemitteilung mit dem Titel „Der lange Weg zurück“.

Darin heißt es unter anderem: „In wenigen Sekunden wurde alles verschlüsselt und damit unbrauchbar: kein System mehr, keine Daten, keine Telefonie, kein E-Mail-Verkehr, keine Kontakte, kaum noch Kommunikationsmöglichkeiten – intern und extern.“

Und weiter: „Seit Mitte Februar arbeitet die zentrale IT der Mürwiker mit Unterstützung von externen Firmen deshalb am Aufbau eines neuen Systems: Dazu gehören die komplette Infrastruktur, die Telefonanlage, WLAN, Fileserver und Drucker. Auch Personalverwaltung und Finanzbuchhaltung sind weiterhin ohne Daten und ohne Programme. […] Der 12.02.2021 hat uns von jetzt auf gleich gefühlt ins Mittelalter zurückversetzt. Als Firma ist man heutzutage ohne Technik nicht mehr handlungsfähig.“

Oftmals schützt das Bezahlen eines Lösegeldes nicht vor den weiteren Schäden, wie dieser Fall ebenfalls verdeutlicht. Die Mürwiker Gruppe hatte sich nämlich schlussendlich entschieden der Erpressung nicht nachzugeben, auch weil ihnen das LKA mitteilte, dass „[…] bei dieser speziellen Hackergruppierung auch bei geleisteter Lösegeldzahlung noch nie ein Entschlüsselungs-Code aufgetaucht ist.“

HR-Abteilung und Fixgehalt

Wie professionell die Gruppierungen hinter den Ransomware Angriffen mittlerweile sind, zeigen geleakte Chats einer der berüchtigtsten Banden. Die russische Gruppe “Conti” konnte allein 2021 die stolze Summe von 180 Millionen USD an Lösegeld erbeuten, auch dank einer einem klassischen Unternehmen gleichenden Struktur mit unterschiedlichen Abteilungen, Prozessen und verschiedenen Management Ebenen.

Das Recruiting der phasenweise bis zu 100 Mitglieder großen Gruppe findet teils auf offiziellen Jobplattformen statt. Es gibt ein strukturiertes Onboarding, das monatliche Fixgehalt liegt bei rund 2,000 USD, Spesen nicht eingerechnet. Normale “Mitarbeiter” sind nicht direkt am Gewinn von erfolgreichen Erpressungen beteiligt.

Die Chats zeigen, dass von zu vielen Überstunden bis Zweifel des Top Managements über die Produktivität des Teams, die Probleme denen von herkömmlichen (remote) Unternehmen gleichen. Ein schwacher Trost, dass gelegentlich doch noch ein Hauch von Moral aufblitzt; als ein Mitglied wiederholt gegen die Regeln der Gruppe medizinische Einrichtungen angreift, wird er, zumindest virtuell, zum CEO zitiert.

Multilayer Defense als Verteidigungsstrategie

Doch wie begegnet man solch hochprofessionellen Verbrechern?

Neben Endpoint Security, Firewalls und Sensibilisierung der Mitarbeiter kommt hier speziell der zusätzlichen Sicherung der Storage eine zentrale Aufgabe zu. Denn am Ende zielt der Angriff immer auf die Daten ab, die perfide für eine so genannte Triple Extortion Strategie genutzt wird.

Zunächst werden die Daten gestohlen und anschließend verschlüsselt – die schnellsten untern den Ransomwares schaffen dabei 100,000 Dateien in untern sechs Minuten. Danach wird auf drei Arten versucht Lösegeld zu erpressen: erstens für die Herausgabe des einzigen Schüssels, zweitens mit der Drohung der Veröffentlichung der Daten und drittens mit Wiederholung dieser Drohung an Kunden, Lieferanten und andere durch den Datenklau mitbetroffenen Parteien.

Neben regelmäßigen SnapShots und Backups, unbedingt auch offline, ist ein sauberes Datenzugriffs-Auditing mit automatisierter Ransomware Erkennung und möglicher gezielter Wiederherstellung von ausschließlich verschlüsselten Dateien dringend zu empfehlen.

Denn am Ende des Tages gilt, ähnlich wie bei Einbrechern, es den Tätern so schwer wie möglich zu machen und Schaden im Fall des Falles zu minimieren. Denn sind Aufwand und Risiko zu hoch, ziehen Kriminelle einfach weiter zur nächsten, leichteren, Beute.

Über ProLion und CryptoSpike

ProLion bietet proaktive Datensicherheitslösungen, die Organisationen helfen, ihre Daten zu verwalten, zu schützen, wiederherzustellen, und den Zugriff zu regeln. Die Lösungen schaffen mehr Datentransparenz und Konformität bei gleichzeitig reduzierter Komplexität.

CryptoSpike ist die führende Lösung zum Schutz von ONTAP Speichersystemen vor Ransomware Angriffen und Insider Threats durch vollständige Zugriffstransparenz.