Am 08. Februar wurde die Verwaltung eines nord-britischen Bezirks Opfer einer Ransomware Attacke. Der Verwaltungsbezirk Redcar und Cleveland, der finanziell ohnehin etwas klamm aufgestellt ist, zahlte die Lösegeldsumme wohl nicht. Allerdings wird der Neuaufbau der Computersysteme jedoch noch weit teurer werden.

Noch drei Wochen nach dem Angriff waren die Online-Dienste des Bezirks immer noch offline und für die Bürger nicht erreichbar. Das hatte weitreichende Auswirkungen auf das öffentliche Leben in Redcar und Cleveland. Es war den Bürgern nicht möglich ihre Steuern zu zahlen, Kinder in die Schulen einzuschreiben und selbst einfache Auskünfte online abzurufen. Die Behörden arbeiten nach dem Angriff wieder mit Papier und Bleistift, um die wenigstens die wichtigsten Dienste aufrecht zu halten.

Die Verantwortlichen von Redcar und Cleveland informierten ihre Bürger zunächst nur ganz lapidar über den Vorfall. Man habe einfach „ein Problem mit dem IT-System, was bedeutet, dass wir mit einer reduzierten Kapazität arbeiten“, hieß es in einer Meldung. Erst 19 Tage danach musste die Stadtverwaltung dann Kleinlaut zugeben, dass es hier eigentlich um einen Lösegeldangriff ging. Die Bürger erfuhren damit erstmals, dass Hackern die IT-Dienste lahmgelegt hatten, indem alle Dateien verschlüsselt wurden. Über die Höhe der Lösegeldforderung wurde nichts bekannt gegeben. Auch gibt es keinerlei Informationen darüber, ob überhaupt Lösegeld gezahlt wurde.

Der Angriff wurde dem britischen Nationalen Cyber-Sicherheitszentrum und der Nationalen Strafbehörden gemeldet. Beide unterstützen die IT-Abteilung von Redcar und Cleveland, bei der Wiederherstellung der Systeme. Vermutlich werden die IT-Systeme mithilfe von offline Backups wieder neu aufgebaut. Dieses Vorhaben wird vermutlich viel kostspieliger werden als die eigentliche Lösegeldforderung. Einer der Stadträte sagte hierzu, dass die Wiederherstellung mehrere Monate dauern und etwa 11 bis 18 Millionen Pfund kosten würde.

Kaspersky zu Ransomware Problematik bei Behörden

Kaspersky veröffentlichte im Dezember 2019 ein Forschungsbericht zu Lösegeld-Angriffen gegen Behörden. Demnach erfolgen die meisten Angriffe auf kommunale Einrichtungen über Social Engineering oder Phishing Attacken. Auch ungepatchte Software auf alten IT-Anlagen sei oft der Schwachpunkt. Vielen Kommunen hätten einfach keine ausreichenden finanziellen Mittel für eine Erneuerung der IT-Umgebung. Laut Kaspersky würden die meisten sich eher auf die Versicherungen gegen und Notfallmaßnahmen nach Cyberangriffen fokussieren, als auf proaktive Abwehrmaßnahmen im Vorfeld. Dies führe oft dazu, dass es nur eine einzige Lösung gibt – die Kriminellen zu bezahlen.

Lösegeldforderung würden durchschnittlich etwa 930.000 Euro betragen und von kleineren Behörden wird oft weniger erpresst als von größeren Behörden. Das zeigt, so Kaspersky, dass die Angreifer sich ihre Ziele sehr genau aussuchen. Angreifer haben zudem gute Kenntnisse über die IT-Strukturen der Behörden. Ein kommunales IT-Netzwerk umfasst vielerlei Dienste und ein Angriff kann daher großen Schaden zufügen. Was solche Angriffsziele für Hacker zudem lukrativ machen würde, sei, dass die kommunalen Netzwerke immer voller sensibler Daten und wichtigen Diensten seien.

Im Kaspersky Bericht wird von einer Zunahme der Angriffe um 60 % im Vergleich zum Vorjahr gesprochen. Zu den am häufigsten verwendeten Malwaretypen zählten Ryuk, Purga und Stop. Andere Experten verglichen derartige Angriffe in Großbritannien und den USA. In den Vereinigten Staaten waren Ransomware Angriffe bisher viel verbreiteter. In Großbritannien sehen die Sicherheitsexperten das dicke Ende allerdings noch kommen.

Alle Sicherheitsexperten sind sich im Prinzip einig, dass die potenziellen Opfer fast immer nur reagieren, wenn es bereits zu spät sei. Carl Wearn, Leiter der Abteilung E-crime bei Mimecast sagte, dass

„Organisationen ihre Infrastruktur aus der Perspektive eines Hackers betrachten müssten – nachträglich Abwehrmechanismen hinzuzufügen, sei einfach zu spät. Sie müssten Prozesse von Anfang bis Ende ansehen, wie sie digitalisiert werden, wie die Rechner benutzt werden, wie sie angeschlossen werden und wer sie benutzt. Dann könne man erst einen wirklich guten Überblick über die Lage der Cybersicherheit bekommen“,

sagte Wearn weiter.

In einem Kommentar zum Thema sagte SANS-IT-Experte Lee Neely, die Zeit bis zur Wiederherstellung umfasse auch, welche Auswirkungen seine Entscheidung haben wird, ob man betroffene Systeme wieder aufbaut oder repariert. Neely empfahl, dass bei der Planung der Reaktion nach Lösegeldforderungen nicht vergessen werden sollte, dass aktive Übungen zum Wiederaufbau von Systemen eingeplant werden sollten. Damit kann sichergestellt werden, dass solche Prozesse im Notfall zeitgerecht ablaufen.

Siehe auch

• Ransomware Angreifern auf den Fersen
• Stadt Sparks in Nevada denkt nach Ransomware Attacke um
• Ransomware trifft Krankenhaus in Wyoming, USA
• Ransomware BitPaymer trifft deutsches Unternehmen für Automatisierungstechnik
• Lake City in Florida: wegen Ransomware gefeuerter IT-Manager wehrt sich
• Ransomware überall und kein Ende in Sicht – jedoch Texas Angreifer mit langen Gesichtern
• NSA-Tool EternalBlue taucht in US-Ransomware Angriffe auf
• Bundesstaat Florida kämpft mit Ransomware-Attacken
• Ransomware: US-Stadt Baltimore kämpft seit Mai mit den Nachwirkungen
• Machen Lösegeldzahlungen bei Ransomware betriebswirtschaftlich Sinn?
• Britischer Flughafen Bristol Opfer von Ransomware-Angriff

Artikel von computerweekly.com, 27.02.2020: Redcar & Cleveland Council confirms ransomware attack
Artikel von theguardian.com, 27.02.2020: Ransomware attack leaves council facing huge bill to restore services
Artikel von bbc.com, 26.02.2020: Redcar council IT hack confirmed as ransomware attack

Beitragsbild: Public Domain, Creative Commons CC0, Elchinator über pixabay