SANS Sicherheitsexperten Jake Williams bringt es in seinem Kommentar auf den Punkt:

„Ja, einige Leute werden jetzt die Stirn runzeln, aber am Ende des Tages kann eine Lösegeldzahlung eine gute Geschäftsentscheidung sein.“

Williams erklärte, dass einige Unternehmen sogar dann zahlen würden, wenn sie wüssten, dass sie eigentlich selbst alles wieder von Offline-Back-up herstellen könnten. Die Zahlung sei einfach der schnellste Weg, um die Geschäftsbereitschaft wiederherzustellen. Williams sagte auch, dass Geschichten von Unternehmen, die bezahlt haben, dann aber die Dateien nicht wiederherstellen konnten, im Allgemeinen überzogen seien. Er habe Angreifer gesehen, die bezahlt wurden mit einer 100%igen Wiederherstellungsrate. Ein Hacker habe sogar Geld zurückerstattet, weil einige der Server nicht richtig entschlüsselt werden konnten. Prävention sei aber nach wie vor am wichtigsten. Aber eine Lösegeldzahlung von vornherein generell auszuschließen sei eigentlich nicht optimal, um die Geschäfte fortzuführen.

400.000 US-Dollar Lösegeld für Daten gezahlt

Was Jake Williams vorschlägt, haben einige Opfer der aktuellen Ransomwareangriffe zwangsweise angewandt. Die Kommunalverwaltung von Jackson County im Bundesstaat Georgia zahlte im März dieses Jahres die Forderung von 400.000 US-Dollar an die Angreifer, um ihr IT-Systeme wieder flott zu kriegen. Der Kommunalverwaltungsleiter Kevin Poe sagte, dass der Weg auf jeden Fall billiger gewesen sei, als alles selbst wiederherzustellen. Ganz abgesehen von dem zeitlichen Aspekt, den Poe mit einigen Monaten einschätzte. Der Bezirk hatte laut eigenen Angaben kein separat angelegtes Back-up-System für seine Netzwerke. Interessanterweise kommt das Fehlen von ordentlichen Datensicherungsmaßnahmen in kleinen Bezirken tatsächlich eher häufig vor.

Für das Jackson County hatte ein angeheuerter Cyber-Sicherheitsberater die Lösegeldsumme ausgehandelt mit den Hackern. Dieser leitete die Summe dann weiter auf ein spezifisches Bitcoin-Konto und erhielt im Gegenzug den Entschlüsselungscode. Seitens der Behörden sei Untersuchung des Angriffs wohl noch im Gange, hieß es im März. Die Ransomware, die verwendet wurde, war höchstwahrscheinlich Ryuk. Verdächtigt werden osteuropäische Hacker. Ihre Zielgruppe: Kommunalverwaltungen, das Gesundheitswesen und größere Unternehmensnetzwerke. Wie sie sich Zugang zu den IT-Systemen des Bezirks verschafft haben, ist noch nicht geklärt, hieß es. Kevin Poe schätze, dass die Angreifer mehrere Wochen lang auf dem IT-System herumgeschnüffelt hätten. Das sei komplett durchgeplant gewesen, ergänzte er. Am Ende war die Kommunalverwaltung völlig lahmgelegt.

Funktionierendes Backup und getestete Wiederherstellung sind die beste Versicherung gegen Ransomware

Andere Opfer zogen es beispielsweise vor, kein Lösegeld zu zahlen. Im ersten Quartal 2018 traf die Stadt Atlanta eine solche Entscheidung. Die Stadt kämpft noch heute mit den finanziellen Nachwirkungen. Die Gesamtkosten liegen im Bereich von fast 20 Millionen US-Dollar. Mit dazu beigetragen hatte in Atlanta auch die lange Wiederherstellungsdauer.

Das Unternehmen Columbia Surgical Specialists mit Sitz in Spokane, im nordwestlichen US-Bundesstaat Washington, zahlte im März ebenfalls ein Lösegeld. Die Angreifer forderten die recht kleine Summe von 14.649,09 US-Dollar. Dann wurde der Zugang zu den verschlüsselten Dateien wieder freigegeben. Das Ärztehaus stand seinerzeit unter Zeitdruck um, wie es in einer Erklärung hieß, die Gesundheit und Sicherheit mehrerer Patienten zu gewährleisten. Geplante Operationen standen an, die ohne die Patientendaten nicht durchführbar gewesen wären. Die Entscheidung in diesem Fall war weniger eine wirtschaftliche, sondern ganz klar fokussiert auf die Gesundheit und das Wohlbefinden der Patienten.

Die Ryunk Malware gibt es noch nicht so lange. IT-Sicherheitsexperten gehen nach ersten Untersuchungen des Codes davon aus, dass die Erschaffer den Code von der Hermes Ransomware verwenden. Hermes ist ein Produkt der nordkoreanischen Hackergruppe Lazarus, das es im Darkweb zu kaufen gibt. Das MalwareHunterTeam ist Ryuk schon seit August 2018 auf der Spur. Ihre Untersuchungen ergaben, dass sich sein Einsatz lohnt. In einem Zeitraum von vier Monaten, konnten die Experten Umsätze aus kriminellen Aktivitäten beobachten im Bereich von über 400 Bitcoins.

Artikel von meritalk.com, 11.03.2019: Georgia County Pays Cybercriminals $400K to Remove Ransomware
Artikel von zdnet.com, 09.03.2019: Georgia county pays a whopping $400,000 to get rid of a ransomware infection
Artikel von bleepingcomputer.com, 09.03.2019: Ransomware Attack on Jackson County Gets Cybercriminals $400,000
Artikel von scmagazine.com, 08.03.2019: Columbia Surgical Specialists pay $15,000 ransom to unlock files

Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0