Suche
  • Rosemarie Pexa

Doppelte Erpressung

Zahlt man kein Lösegeld, wird mit der Veröffentlichung von Firmendaten gedroht.

Cyberkriminelle zählen zu den Krisengewinnern. Sie profitieren davon, dass sich durch die Lockdowns immer mehr Prozesse ins Internet verlagert haben. Diesen Transfer in kürzester Zeit durchzuführen, überforderte Anwender ebenso wie IT-Fachleute, so Oberrat Ing. Erhard Frießnik, M.A., MSc, BSc, Leiter des Cybercrime Competence Centers (C4) im Bundeskriminalamt: „Viele Firmen haben versucht, selbst Lösungen zu finden, z. B. für die Arbeit im Home-Office. Sicherheitslücken hat es aber nicht nur dabei gegeben, sondern auch bei Angeboten professioneller IT-Dienstleister.“

Diese Sicherheitslücken nutzen Cyberkriminelle, um in das IT-Netzwerk von Unternehmen einzudringen und Ransomware zu installieren. Mittlerweile beschränken sich die Angreifer oft nicht mehr darauf, den Datenbestand zu verschlüsseln, sondern drohen auch damit, sensible Firmendaten zu veröffentlichen. Eine weitere Entwicklung, die sich seit dem letzten Jahr verstärkt abzeichnet, ist die gezielte Suche nach Opfern, von denen hohe Lösegeldsummen erpresst werden können.


Sicherheitslücken. Die Vorbereitung einer derartigen Ramsomware-Attacke bringt einen erheblichen Aufwand mit sich. Wie die Täter dabei vorgehen, beschreibt Frießnik folgendermaßen: „Der Angreifer kundschaftet das Unternehmen aus und versucht, technische oder humane Sicherheitslücken zu finden.“ Während manche Tätergruppen selbst über das erfor­derliche Know-how verfügen, kaufen andere Tools und Informationen über Sicherheitslücken bzw. gehackte Accounts zu, die im Darknet angeboten werden. Diese illegalen Dienstleis­tungen – Crime-as-a-Service – gewinnen zunehmend an Bedeutung.

Meist erfolgt die Infektion mit Schadsoftware, indem die Täter technische Schwachstellen ausnützen, aber auch mangelndes Bewusstsein der Mitarbeiter für Risiken in der Kommunikation erhöht das Risiko, Opfer von Ransomware zu werden. Diese installiert sich auf dem Rechner, wenn der User den Anhang einer E-Mail öffnet oder einen Link auf einer Website anklickt.

Sobald sich die Angreifer Zugriff auf das Netzwerk verschafft haben, beginnen sie, Zugangsdaten und Backup-Systeme auszuspionieren. Die Zugangsdaten verwenden sie, um weitere Server zu infizieren, Backups werden blockiert. Häufig legen die Täter eine Kopie des gesamten Datenbestands an, um das Unternehmen mit der Veröffentlichung interner Informationen zu erpressen. „Die Verschlüsselung startet oft am Freitag in der Nacht, da fällt es den Mitarbeitern nicht auf, und die Täter haben das ganze Wochenende lang Zeit“, so Frießnik. Der Verschlüsselungsprozess dauert bei kleineren Unternehmen einige Stunden, bei großen können es mitunter Wochen sein.


Lösegeld. Will ein Mitarbeiter des attackierten Unternehmens auf seine Daten zugreifen, erscheint auf dem Bildschirm die Meldung, dass der Datenbestand verschlüsselt worden ist. Das Opfer soll mit den Tätern Kontakt aufnehmen, in der Regel per E-Mail. Wenn man dieser Anweisung nachkommt, stellen die – meist höflich und „serviceorientiert“ auftretenden – Erpresser ihre Lösegeldforderung, deren Höhe sich nach den finanziellen Möglichkeiten des Unternehmens richtet. Häufig wird die Zahlung in Kryptowährung verlangt. Da viele Firmen damit keine Erfahrung haben, zeigen sich die Täter „hilfsbereit“, übermitteln eine Anleitung und bieten Unterstützung an.

So soll es dem Unternehmen gelingen, die Zahlung innerhalb der von den Tätern gesetzten Frist zu leisten. Diese ist mit wenigen Stunden bis maximal einem Tag meist sehr knapp bemessen. „Unter Zeitdruck trifft man oft voreilig Entscheidungen, statt sich Alternativen zu überlegen. Die Täter wissen das und wollen beim Opfer strukturiertes Denken verhindern“, erklärt Frießnik. Reagiert die Zielscheibe der Attacke nicht wie erwartet und lässt die Frist verstreichen, schlagen die Erpresser rauere Töne an, manchmal erhöhen sie auch die geforderte Summe.

Der Großteil der Unternehmen ist auf einen Ransomware-Angriff nicht vorbereitet und kann somit auch nicht nach einem Plan vorgehen. Frießnik beschreibt den daraufhin eintretenden Zustand als „Chaosphase“, in der man zuerst versucht, so viele Daten wie möglich selbst wiederherzustellen. Meist mit mäßigem Erfolg, da das Backup fast immer unterbunden oder ebenfalls verschlüsselt worden ist. Offline-Backups sind häufig veraltet. Für das Unternehmen bedeutet das ein Abwägen zwischen den Kosten für das Lösegeld und dem Schaden, der durch die Verwendung einer nicht aktuellen Backup-Version entstehen würde.


Daten wiederherstellen. Eine weitere Option ist die Suche nach einem Entschlüsselungsprogramm. Die Initiative „No More Ransom“ stellt kostenlose Programme auf ihrer Web-Site www.nomoreransom.org zum Herunterladen zur Verfügung. Diese leisten gute Dienste, wenn es sich um bekannte Ransomware-Familien handelt, allerdings findet man oft nicht die passende Entschlüsselung. IT-Profis, die sich auf Ransomware spezialisiert haben, sorgen für ein strukturiertes Vorgehen und können den Datenbestand in vielen, aber nicht in allen Fällen entschlüsseln. Aber selbst wenn es gelingt, die Daten wiederherzustellen, dauert es Tage, manchmal sogar Wochen, bis das System neu aufgesetzt ist und läuft.

Daher betrachten es betroffene Unternehmen oft als die schnellere und kostengünstigere Variante, das geforderte Lösegeld zu bezahlen. Häufig ein Trugschluss, denn manchmal kassieren die Täter die verlangte Summe, ohne die Daten zu entschlüsseln. Auch wenn sie das tun, kann es passieren, dass sie weitere Angriffe auf das Unternehmen durchführen, sie kennen ja die Zugriffsmöglichkeit. Egal, ob das Opfer die Daten selbst wiederhergestellt hat oder auf die Forderung der Täter eingegangen ist – auf alle Fälle sollte danach ein Profi zu Rate gezogen werden, um Sicherheitslücken zu identifizieren und zu schließen.


Betroffene Unternehmen. Eine „Doppelerpressung“ lässt sich dadurch allerdings nicht verhindern, so Frießnik: „Die Täter bieten Daten, die sie vor der Verschlüsselung kopiert haben, im Darknet zum Kauf an. Diesem Angriffsvektor kann man nur schwer entgegenwirken.“ Selbst IT-Dienstleister werden manchmal Opfer eines derartigen Angriffs, wie der Fall einer oberösterreichischen IT-Firma zeigt. Die Ransomware-Gruppe „Black Matter“ infizierte im Vorjahr die Server ihres Opfers, über diese wurde die Schadsoftware auf 34 Kunden des IT-Unternehmens – Klein- und Mittelbetriebe in ganz Oberösterreich – übertragen. Die kopierten Daten veröffentlichten die Täter im Darknet.

Das war nicht der einzige Ransomware-Angriff in Österreich, der seit Beginn der Pandemie Schlagzeilen gemacht hat. Die Palfinger AG, ein im Bereich Kran- und Hebelösungen international tätiges Unternehmen mit Hauptsitz in Salzburg, wurde ebenfalls Erpressungsopfer. Die Schadsoftware legte den Großteil der weltweit 35 Werke für rund zwei Wochen lahm. Die Täter entschlüsselten die Firmendaten, nachdem das Unternehmen das Lösegeld in Bitcoins bezahlt hatte – nach langen Verhandlungen weniger als ursprünglich verlangt. Ein Teil der Schadenssumme wurde von der abgeschlossenen Versicherung gegen Schäden durch Cyberkriminalität übernommen.

„You are fucked“ lautete die Botschaft, die bei Salzburg Milch, der größten Salzburger Molkerei, am Bildschirm zu lesen war. Die Täter hatten sämtliche Passwörter geändert, die Nutzer konnten nicht mehr auf ihre Daten zugreifen. Doch das Unternehmen hatte Glück im Unglück, da die Milchabfüllanlagen über ein getrenntes, nicht infiziertes System gesteuert wurden. Außerdem gab es ein nicht verschlüsseltes Backup, das nur zehn Stunden vor dem Angriff angelegt worden war. Der Molkerei gelang es, das System selbst wieder aufzusetzen. Offensichtlich wollten sich die Täter mit ihrem Misserfolg nicht zufriedengeben, denn von der installierten Überwachungssoftware wurden weitere Zugriffsversuche erkannt und abgewehrt.

Auch bei einem der jüngsten bekannt gewordenen Ransomware-Attacken griff das betroffene Unternehmen zur Selbsthilfe. Die Papierfabrik Brigl & Bergmeister im steirischen Niklasdorf wurde im April 2022 Opfer von Cyberkriminellen, konnte die Produktion jedoch ohne Ausfälle fortsetzen. Derzeit wird der Vorfall gemeinsam mit IT-Experten aufgearbeitet.


Internationale Kooperation. Werden österreichische Unternehmen angegriffen, übernehmen in der Regel die zuständigen Landeskriminalämter bzw. Bezirks-IT-Ermittler den Fall. Dem Cybercrime Competence Center kommt bei größeren Fällen, an denen mehrere Ermittlungsgruppen beteiligt sind, die Rolle des Koordinators zu. Handelt es sich um Ransomware-Attacken, bei denen es um sehr hohe Lösegeldforderungen bzw. eine besonders komplexe Vorgehensweise der Täter geht, die mediale Aufmerksamkeit erregen, ermittelt das C4 selbst. Ebenfalls zu den Aufgaben des C4 zählt die Kooperation mit europäischen und internationalen Strafverfolgungsbehörden.

Diesen gelangen in den letzten Monaten mehrere Schläge gegen auf Ransomware spezialisierte kriminelle Gruppierungen. Im Oktober 2021 führten Ermittlungen von Europol, der EU-Agentur für justizielle Zusammenarbeit in Strafsachen Eurojust und Interpol in Rumänien zur Verhaftung von zwei Mitgliedern der REvil-Gruppe. Die beiden sind für rund 5.000 Infektionen mit dem REvil-Verschlüsselungstrojaner verantwortlich, über die sie insgesamt eine halbe Million Euro Lösegeld kassiert hatten.

Im November 2021 zogen Europol, Eurojust und die Polizeibehörden mehrerer Staaten bei einer gemeinsamen Aktion zwölf Cyberkriminelle aus dem Verkehr. Diese hatten Ransomware-Angriffe auf über 1.800 Opfer, auch aus dem Bereich der kritischen Infrastruktur, in 71 Ländern verübt. 52.000 US-Dollar in bar und fünf Luxusfahrzeuge wurden sichergestellt – ein Erfolg, der nur durch grenz­überschreitende Kooperation ermöglicht worden war. „Ransomware ist ein globales Problem, das auch eine internationale Zusammenarbeit erforderlich macht“, so Frießnik.







7 Ansichten0 Kommentare

Aktuelle Beiträge

Alle ansehen

Mehr oder weniger?