Etwa ein Monat nach den turbulenten Tagen des weltweiten WannaCry Angriffs schlugen Hacker in Korea mit einer anderen Ramsomware zu. Ihr Opfer war Nayana, ein Webhosting Unternehmen, das insgesamt 300 Server für überwiegende kleine Unternehmen betreibt. Das Unternehmen wurde schwer getroffen durch einen Angriff der Linux Ransomware Erebus. Insgesamt wurden 150 der Nayana Server durch Erebus außer Gefecht gesetzt. Damit waren mit einem Streich über 3.400 Kundenwebsites nicht mehr funktionsfähig.

Nayana informierte am 10. Juni die Behörden und ging am selben Tag auch an die Öffentlichkeit. Es bestätigte, dass Kundenvideodateien und seine Datenbanken durch die Angreifer verschlüsselt worden waren. Der oder die Hacker verschlüsselten die Originaldaten und auch das Back-up. Damit waren Nayana praktisch die Hände gebunden überhaupt irgendetwas wieder herzustellen. Wie es sich später herausstellte, betrieb Nayana seiner Server mit veralteter Software. Teilweise waren die Linux, Apache und PHP betriebenen Systeme schon über zehn Jahre alt.

Nayana verhandelte achte Tage lang mit den Angreifern, die zunächst fast 4,5 Mio. US-Dollar Lösegeld gefordert hatten. Diese Summe konnte letztendlich auf eine Mio. US-Dollar heruntergehandelt werden – alles in Bitcoin. Die Lösegeldzahlung erfolgte in drei Schritten und die Hacker gaben ebenfalls schubweise die Passwörter frei für die Wiederherstellung der Server. Nayana musste sich einiges einfallen lassen, um die Mittel für die Lösegeldzahlung auftreiben zu können. Laut Berichten verlieh es einen Teil seiner Aktien an ein anderes Unternehmen.

Es ist erstaunlich, das Cyberkriminelle immer noch leichtes Spiel haben, weil Unternehmen sich nicht um die Aktualisierung ihrer Software kümmern. Nayana hat seine Lektion sehr schmerzhaft gelernt. Es könnte für das Unternehmen durchaus noch ein weiteres Nachspiel haben. Leidtragende sind aber die kleinen Unternehmen, die davon betroffen waren. Wir wie alle, vertrauen sie den Hostingdienstleistern fast schon blindlings.

Und wie IT-Sicherheitsexperte Jake Williams ganz interessant kommentierte:

„Unternehmen, die sich auf den Service derartige Dienstleister verlassen (das sind ja fast alle von uns) sollten sich fragen: Wie würden wir reagieren, wenn unser Webhostinganbieter wochenlang offline geht? Die meisten der betroffenen südkoreanischen Unternehmen waren auf diese Frage nicht vorbereitet.“

Artikel von theregister.co.uk, 20.06.2017: South Korean hosting co. pays $1m ransom to end eight-day outage
Artikel von zdnet.com, 20.06.2017: Korean web host hands over 1 billion won to ransomware crooks

Urheberrechte am Bild: shutterstock.com