Eine Versicherungsgesellschaft in Kanada wurde am 10. Oktober 2019 Opfer einer Ransomware-Attacke. Die Angreifer forderten zunächst 1,2 Mio. US-Dollar Lösegeld. Durch Verhandlungen konnte die Summe jedoch auf 950.000 US-Dollar reduziert werden. Eine über einen britischen Versicherer abgeschlossene Cyberversicherung bezahlte diesen Betrag anschließend. Sodann leitete die britische Versicherung den Prozess ein, die Cyber-Gauner aufzuspüren. Der Fall ist erst kürzlich ans Licht gekommen, als der britische Cyberversicherer in London ein entsprechendes Gerichtsverfahren eingeleitet hatte.

Das nicht näher genannte kanadische Opfer erhielt den Schlüssel zu Freischaltung seiner Daten und Systeme nach Zahlung der Lösegeldsumme. Doch schnell und einfach war die Aufgabe nicht – das Unternehmen benötigte ganze zehn Werktage, um die Daten wieder vollständig wiederherzustellen. Das lag daran, dass das zur Verfügung gestellte Entschlüsselungswerkzeug auf jedem einzelnen betroffenen Gerät im Netzwerk des Unternehmens ausgeführt werden musste. Nach fünf Tagen waren die 20 Server wieder freigeschaltet und nach zehn Tagen dann alle 1.000 Desktopgeräte.

Die Jagd auf die Hacker der Ransomware, das Urteil und der Teilerfolg

Währenddessen machte sich der britische Versicherer bereits daran, die Cybergauner aufzuspüren. Das Blockchain Ermittlungsbüro Chainalysis Inc. wurde dafür beauftragt, konnte sachdienliche Hinweise finden und dem Obersten Gerichtshofs in London zur Verfügung stellen. In dem Urteil des Gerichts von 13. Dezember 2019 hieß es, Hackern sei es gelungen, die Firewall der kanadischen Versicherungsgesellschaft zu durchdringen und BitPaymer Malware zu installieren. Das zum größten Teil anonymisierte Urteil wurde jedoch erst am 17. Januar 2020 veröffentlicht. Der Richter erläuterte darin:

„Während ein Teil der Bitcoins in sogenannte Fiat-Währung überführt wurde, wurden 96 Bitcoins an eine bestimmte Adresse überwiesen. Diese Adresse gehört Bitfinex, einem Unternehmen auf den Britischen Jungferninseln.“

Fiat-Währung besitzt keinen inneren Wert, es dient vielmehr als reines Tauschmittel.

Bitfinex ist ein Unternehmen, das Kryptowährung umtauscht. Die Ermittler konnten eine mit dem Umtausch verbundene E-Mail-Adresse wohl nach China zurückverfolgen. Bitfinex selbst zählt laut dem Gericht, nicht zu dem in Frage kommenden Täterkreis. Dennoch entschied der Richter, dass das Unternehmen wahrscheinlich Kenntnis über die angeblichen Lösegeldempfänger hatte. Der Richter hatte keine Zweifel daran, dass Bitfinex in seinen Kunden-Aufzeichnungen Informationen über die beiden mutmaßlichen Erpresser finden könnte. Bitfinex erklärte, dass es die Strafverfolgungsbehörden jederzeit unterstützen würde. Man sei selbst

„eine völlig unschuldige Partei, die lediglich in diesen Fall verwickelt sei.“

In seiner Zielsetzung, das ausgezahlte Lösegeld zurückzuerhalten, konnte der britische Versicherer schon einen Teilerfolg verbuchen: Über eine einstweilige Verfügung konnte er erwirken, dass ein Großteil der Bitcoin-Lösegeldzahlung eingefroren wurde.

Die Debatte: Helfen Lösegeldzahlungen den Opfern von Verschlüsselungstrojaner wirklich?

Seit Oktober 2019 ist das amerikanische FBI bekanntlich nicht mehr ganz so streng gegen die Zahlung von Lösegeldern. Die IT-Sicherheitsfirma Malwarebytes ist aber der Ansicht, dass es heutzutage wahrscheinlich keinen Unterschied machen würde, wenn Opfer die Lösegeldzahlung rundum verweigern. Vielleicht liegt sie da gar nicht so falsch, wie eine Studie zu vergangenen Ransomware-Fällen zeigt. Demnach würden weniger als die Hälfte der Unternehmen, die Lösegeld zahlen, ihre Dateien tatsächlich zurückerhalten. Dazu kommen haarsträubende Fälle wie die eines schottischen Managed Service Providers, der Lösegeld-Entschlüsselungsdienste versprach. Er wurde dabei ertappt, als er die Lösegeldsumme an die Cybergauner bezahlte und sich eine Kommission einbehielt.

Obwohl Ransomware-Angriffe immer häufiger vorkommen, werden sie nur ganz selten publik gemacht. Das liegt daran, dass die betroffenen Unternehmen sich immer noch vor den Konsequenzen fürchten. Es wird in Expertenkreisen von etwa 10 – 20 Prozent der Betroffenen gesprochen, die solche Vorfälle ans Licht bringen. Das heißt, in 80 – 90 Prozent der Fälle bleiben die mitbetroffenen Kunden, Lieferanten und Geschäftspartner der Opfer völlig im Dunkel, was einen möglichen Datenmissbrauch anbelangt.

Es gibt jedoch bekannte Fälle, wo Opfer sich nicht vor den Folgen fürchten und bewusst an die Öffentlichkeit gehen. So hielt es auch die Regis University in Denver, im amerikanischen Bundesstaat Colorado nach einem Ransomware-Angriff im August 2019. Im Januar 2020 ging es dann allerdings mit seinen Erfahrungen aus dem Vorfall an die Öffentlichkeit auf einem Cyber-Sicherheitsgipfel. Die Universität hatte seinerzeit die Lösegeldforderung bezahlt und die Freischaltung erhalten, kämpfte aber noch monatelang mit der Wiederherstellung der Daten.

Auf dem Regis Cyber-Sicherheitsgipfel tauschte man sich über die Ransomware-Attacke mit anderen Betroffenen und Experten aus, um zu helfen, weitere Vorfälle zu verhindern. Das derartige Angriffe zunehmen in den letzten Jahren, ist trotz der Geheimhaltung nicht mehr von der Hand zu weisen. Auch andere US-Bildungseinrichtungen zählten 2019 zu den Opfern. Darunter das Monroe College in New York City, das Stevens Institute of Technology sowie die Colleges Grinnell, Oberlin und Hamilton.

Ein Teilnehmer sprach aus, was viele dachten:

„Noch vor fünf Jahren erzählte eine Organisation niemandem davon, dass sie angegriffen wurde. Man war der Ansicht, dass Sie das Geschehene nicht veröffentlichen konnten, da es ihre Schwachstellen offenbaren würde. Und nun sei diese Einstellung so weit verbreitet, dass es schwer werden wird, sie zu ändern. Das sei nur möglich, wenn alle sich zusammenschließen.“

Siehe auch

• Ransomware trifft Krankenhaus in Wyoming, USA
• Ransomware BitPaymer trifft deutsches Unternehmen für Automatisierungstechnik
• Ransomware überall und kein Ende in Sicht – jedoch Texas Angreifer mit langen Gesichtern
• NSA-Tool EternalBlue taucht in US-Ransomware Angriffe auf
• Bundesstaat Florida kämpft mit Ransomware-Attacken
• Ransomware: US-Stadt Baltimore kämpft seit Mai mit den Nachwirkungen
• Machen Lösegeldzahlungen bei Ransomware betriebswirtschaftlich Sinn?

Artikel von theregister.co.uk, 29.01.2020: Canadian insurer paid for ransomware decryptor. Now it’s hunting the scum down
Artikel von cbc.ca, 30.01.2020: Hackers were paid ransom after attack on Canadian insurance firm, court documents reveal
Artikel von insidehighered.com, 30.01.2020: Regis Paid Ransom to Cyberattackers
Artikel von govtech.com, 28.01.2020: Denver Private University IT Still Impaired After Paying Ransom

Beitragsbild: Public Domain, Creative Commons CC0, staffordgreen0 über pixabay