Im Juni fegte ein Hurrikan der anderen Art über Florida hinweg: Gleich drei Stadtverwaltungen wurden von Ransomware-Attacken schwer getroffen. Im Hinblick auf die katastrophale Wendung im Fall des Angriffs auf die Stadtverwaltung von Baltimore, entschieden sich zwei der Stadtverwaltungen in Florida, die geforderte Lösegeldsumme zu zahlen. Die dritte Stadt versucht indessen, das zu vermeiden.

Die Stadtverwaltung von Lake City zahlte 460.000 US-Dollar in Bitcoin, nachdem sie sich 14 Tage lang mit verschlüsselten, nicht funktionierenden Computersystemen herumgeärgert hatte. Dabei war der Angriff innerhalb von 10 Minuten erkannt und die IT-Abteilung an der Sache dran. Selbst das war aber zu langsam gewesen. Immerhin war Lake City über eine Cyberversicherung gegen solche Vorfälle gewappnet. Aus der Haushaltskasse mussten letztendlich noch 10.000 US-Dollar gezahlt werden. Ganz leicht fiel den Entscheidungsträgern diese Entscheidung allerdings trotzdem nicht. Erst nach einer Dringlichkeitssitzung und Rücksprache mit dem Versicherer, wurde sie gefällt.

In Floridas zweiten Fall, verlangten die Angreifer etwas mehr Lösegeld von der Riviera Beach Stadtverwaltung. Umgerechnet 600.000 US-Dollar an Lösegeld, ebenfalls in Bitcoin, waren es am Ende. Auch hier bestand entsprechender Versicherungsschutz gegen Cyberangriffe. Aus der Stadtkasse musste dadurch lediglich der Selbstbehalt von 10.000 US-Dollar bezahlt werden.

Bürgermeister Stephen Witt sagte dazu:

„Wenn es nach deinem Herzen geht, willst du diese Typen wirklich nicht bezahlen. Letztendlich werden die Bürger aber durch Dollar und Cent vertreten, daher war das für uns die richtige Entscheidung.“

Obwohl der Bürgermeister damit gegen die Empfehlungen des FBI handelte, entschied er, die Steuerzahler nicht weiter zu belasten. Dabei bekam er allerdings keine Garantien, dass mit der Zahlung alles wieder reibungslos funktionieren würde. Allerdings hätten die Mitarbeiter der IT-Abteilung bereits spürbare Fortschritte machen können, nach der Lösegeldzahlung, hieß es.

Key Biscayne war die dritte und im Juni vorerst letzte unter den betroffenen Städten in Florida. Die IT-Abteilung der Stadtverwaltung konnte die allermeisten Netzwerke wieder herstellen, noch bevor die Lösegeldforderung sie erreichte.

Ransomware scheint sich zu einer digitalen Epidemie zu entwickeln für Amerikas öffentlichen Sektor. Die Täter suchen sich ihre leichten Opfer gut aus. Seit Jahren ist es in aller Munde, wie schmal die öffentlichen Haushaltskassen sind. Ganz zwangsläufig können Angreifer daher davon ausgehen, dass Netzwerke und verwendete Software damit nicht den allerbesten Sicherheitsstandards entsprechen.

Schmerzliche Lehren aus solchen Angriffen haben auch die Polizeibehörden in Illinois, Maine, Massachusetts und Tennessee erfahren. Auch sie zahlten die Lösegeldforderungen. Klar ermutigt das die Angreifer, etwas dreistere Forderungen zu stellen. Allerdings halten sich alle Opfer vor Augen, wie desaströs es sein kann, wenn man sich allzu stur verhält über Lösegeldzahlungen tiefergreifend nachzudenken. Das abschreckende Beispiel hier heißt Baltimore. Anstatt die läppische Lösegeldforderung von etwa 80.000 bis 100.000 US-Dollar zu zahlen, muss die Stadtverwaltung nun 18 Mio. US-Dollar aufbringen, um sehr mühsam und langwierig alles wiederherzustellen.

Unternehmen, die von Ransomware betroffen sind, zahlen in den meisten Fällen die Lösegeldforderungen, ohne dies groß an die Glocke zu hängen. Die Strafverfolgungsbehörden raten zwar weiterhin dagegen. Ob diese Lösegeldzahlungen allerdings einen Einfluss auf die fast 40-prozentige Zunahme von Ransomware-Attacken gegen Kommunalverwaltungen haben, ist nicht klar. Die Meinungen gehen weit auseinander, ob es eine gute Sache sei, wenn auch Kommunalverwaltungen Lösegeldforderungen zahlen. Die Botschaft der Angreifer ist vielleicht so deutbar: „Solange ihr eure Sicherheitsstandards so offensichtlich vernachlässigt, werden wir das ausnutzen.“ Also was spricht eigentlich dagegen Lösegeld zu zahlen und die damit gesparten Kosten (siehe Baltimore) für die Modernisierung der IT-Sicherheit zu investieren?

John Pescatore, SANS Sicherheitsexperte denkt auch in diese Richtung. Er schrieb in einem Kommentar:

Für alle Verantwortlichen von Staats- und Lokalregierung, bieten die jüngsten Ransomware-Vorfälle in Baltimore/Atlanta/Jackson County/Riviera Beach gute Beispiele dafür, um sich davon zu überzeugen, dass ’späteres Bezahlen‘ immer viel mehr kosten wird als ‚jetzt gleich reparieren‘. Die jüngsten Angriffe auf kleine lokale Regierungen tragen sicherlich auch dazu bei, von der Einstellung wegzukommen, „Nun, wir sind so klein, dass uns niemand jemals angreifen würde“.

Viel weiß man noch nicht über die Attacken. Beim Lake City Angriff löste eine bösartige E-Mail den Angriff aus. Experten haben die Malware Triple Threat identifiziert, eine Untervariante der Ryuk Malware. Obwohl Ryuk in drei bis fünf Prozent aller Fälle entschlüsselt werden konnte, gelang es Lake City nicht. Experten der Sicherheitsfirma Emsisoft, gehen davon aus, dass ein Teil dieses Problems schlechte Kommunikationskanäle mit den Opfern sind. Emsisoft bietet eine ID Ransomware, eine kostenlose Website, auf der Opfer Ransomware-Stämme hochgeladen werden können. Das ist für Sicherheitsexperten eine immense Hilfe beim Entschlüsseln.

Europäische Sicherheitsexperten nutzen seit einiger Zeit ähnliche Projekte sehr erfolgreich. Das „No More Ransom Project“ bringt Sicherheitsexperten, Strafverfolgungsbehörden und Verwaltungsmitarbeiter vor Ort zusammen, um Angriffsinformationen in Echtzeit auszutauschen. Gleichzeitig werden so auch Entschlüsselungstechniken ausgetauscht. Praktischer Nebeneffekt: Die Strafverfolgung kann direkt auf die Command & Control Server der Angreifer ausgerichtet werden. 2018 gab es dadurch erfolgreiche Verhaftungen. Allerdings beklagen die europäischen Strafverfolgungsbehörden eine schwierigere Zusammenarbeit mit dem FBI, was an strengeren US-Kommunikationsprotokollen liegen würde.

Siehe auch:

• Machen Lösegeldzahlungen bei Ransomware betriebswirtschaftlich Sinn?
• Ransomware: US-Stadt Baltimore kämpft seit Mai mit den Nachwirkungen

Artikel von nytimes.com, 27.06.2019: Another Hacked Florida City Pays a Ransom, This Time for $460,000
Artikel von zdnet.com, 26.06.2019: Second Florida city pays giant ransom to ransomware gang in a week
Artikel von cyberscoop.com, 26.06.2019: Another Florida city is making a ransomware payment, worth nearly $500,000 this time

Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0