In der ersten Juni-Woche dieses Jahres konnten Proofpoint Cyber-Sicherheitsanalysten mehr als eine Million bösartige E-Mails registrieren. Eine Vielzahl davon waren Phishing-Versuche. Beliebtes Thema dabei seien gefälschte Covid-19-Testergebnisse. Angegriffen werden Opfer weltweit, vor allem aber in den USA, Frankreich, Deutschland, Griechenland und Italien. Eines der Opfer war die University of von California in San Francisco, die ihren Erpressern etwas mehr als 1,4 Millionen US-Dollar Lösegeld überwies.

Der Angriff auf die Universität fand am 01. Juni statt. Die Netwalker Hackergruppe konnte dabei einige Server innerhalb der medizinischen Fakultät verschlüsseln. Die darin aufbewahrten Daten waren wohl ein wichtiger Teil der akademischen Arbeit der Universität. Nicht betroffen waren das Campus-Netzwerk, das Patientensystem oder der Forschungsbereich, der unter anderem auch das Coronavirus erforscht. Wissenschaftler der Universität arbeiten dort an Versuchen, ob Malariamedikamente bei der Eindämmung der COVID-19-Pandemie helfen könnten.

Laut einem Sprecher der Universität sei die Untersuchung des Angriffs noch im Gange. Man glaube aber, dass die Malware die Server recht wahllos verschlüsselt habe. Kein bestimmter Bereich war angegriffen und verschlüsselt worden. Die Angreifer hätten anschließend ein paar Daten als Beweis für ihren Angriff vorgezeigt. Gleich nach der Entdeckung des Vorfalls nahm die IT-Abteilung alle Rechner der Universität vom Netz. Damit wollte man der Verbreitung der Malware Einhalt gebieten. Kurz darauf begannen die Lösegeldverhandlungen.

Der britische Nachrichtensenden BBC News konnte nach einem anonymen Hinweis den Live-Chat der Verhandlungen mitlesen. Dieser fand auf einer Netwalker Chat-Plattform im Darkweb statt. Ein Unterhändler führte die Verhandlungen für die Universität. Zunächst bat dieser um mehr Zeit und darum, dass die Informationen zum Hack von der öffentlichen Netwalker Webseite entfernt werden sollten. Die Hacker kamen der Bitte nach, forderten dann aber drei Million US-Dollar Lösegeld. Der Unterhändler setzte aber ein Gebot von 780.000 Dollar ab, was die Netwalker als „eine Beleidigung“ empfanden. Die Chat-Texte wurden in schlechtem Englisch durchgeführt. Schließlich boten die Hacker ein Entgegenkommen an mit einer Summe von 1,5 Mio. US-Dollar. Als letztes Gebot wurden 1.140.895 US-Dollar von der Universität geboten und von Netwalker akzeptiert. Die Summe wurde am nächsten Tag in Form von 116,4 Bitcoins überwiesen. Im Gegenzug erhielt die Universität den Code zur Freischaltung der Daten.

Laut Cyber-Sicherheitsexperten finden gleichartige Verhandlungen derzeit überall auf der Welt statt. Oft geht es aber um noch höhere Summen, obwohl Strafverfolgungsbehörden generell davon abraten, eine Zahlung an Kriminelle zu leisten. Eine Lösegeldzahlung garantiert zudem nicht, dass die Hacker die Daten tatsächlich freigeben. Ein anderes Risiko ist, dass nicht alle Daten nach der Entschlüsselung wieder hergestellt werden können.

Netwalker Hackergruppe und Ransomware

Mit der Netwalker Ransomware werden mindestens zwei weitere Lösegeld-Angriffe auf Universitäten verbunden. Es ist nicht sicher, wird aber angenommen, dass die Netwalker-Gang vor fast nichts zurückschreckt. Es ist in Cyberkreisen bekannt, dass Netwalker sich einer früheren Deklaration der Cyber-Unterwelt nicht angeschlossen hatte. Einige Hackergruppen haben sich zu einer „ethischen“ Vorgehensweise entschieden und versprochen, keine Einrichtungen anzugreifen, die sich mit der Bekämpfung der Coronavirus-Pandemie beschäftigen.

Die IT-Sicherheitsfirma Sophos veröffentlichte Ende Mai einen interessanten Bericht über die Netwalker Ransomware Tools und Taktiken. Demnach suchten sich die Hacker dieser Gruppe Opfer in den USA, Australien und Westeuropa aus. Dabei lassen sie Einzelpersonen ganz außen vor, da größere Unternehmen ihnen lukrativer erscheinen. Die Forscher erkennen dies an der Art der verwendeten Tools, die für Systeme geschaffen sind, die private Personen typischerweise nicht benutzen.

Die Netwalker-Gruppe führt ihre Angriffe manuell und gut durchdacht aus. Sie infiltriert Systeme und untersucht sie gründlich. Anschließend werden die Schutzmaßnahmen der angegriffenen Systeme deaktiviert und der finale Angriff ausgeführt.

Netwalker Hacker nutzen kaum eigene Tools im Vergleich zu anderen Ransomware-Gruppen. Der überwiegende Teil ihres Toolsets sind öffentlich vorhandene Tools.

Ein derart tiefer Einblick, wie Hacker vorgehen, den der Sophos-Bericht zu Netwalker gibt, ist selten zu sehen. Aber er hilft potenziellen Opfern, sich frühzeitig gegen Angriffe abzusichern.

Artikel von theregister.com, 29.07.2020: University of California San Francisco pays ransomware gang $1.14m as BBC publishes ‚dark web negotiations‘
Artikel von cyberscoop.com, 29.07.2020: California university pays $1 million ransom amid coronavirus research
Artikel von bbc.com, 29.07.2020: How hackers extorted $1.14m from University of California, San Francisco

Beitragsbild: Public Domain, Creative Commons CC0, Karolina Grabowska auf pexels.com.