Hacker können dieses Jahr auf einige erfolgreiche und lukrative Ransomeware-Angriffe zurückblicken: Baltimore und drei Städte in Florida. Nun nahmen sie mittels Sodinokibi (REvil) Malware Städte in Texas ins Visier. Allerdings durften sie dort eine echte Überraschung erleben.

Alles begann mit ihrem sehr durchgeplanten und zunächst erfolgreichen Angriff auf die IT-Netzwerke von 22 texanischen Stadtverwaltungen am 16. August dieses Jahres. Die Hacker verlangten eine Lösegeldsumme von insgesamt 2,5 Mio. US-Dollar, zahlbar in Bitcoin. Doch beim Absahnen in Texas hatten sie sich gehörig verrechnet. Denn bisher hat keine einzige Stadtverwaltung auch nur einen Dollar an die Angreifer gezahlt. Stattdessen waren über die Hälfte der Stadtverwaltungen bereits nach drei Wochen wieder online, fast alle ohne nennenswerte Datenverluste. Obwohl die einen dafür länger brauchten als andere, halfen Backups oder das komplette Neuaufsetzen zur Systemwiederherstellung.

Über die Angriffsmalware weiß man bisher nur, dass es sich um REvil handelt, die sich in der Regel über E-Mails verbreitet. In der texanischen Stadt Keene verschafften sich die Hacker Zutritt mittels einer Remote-Software. Sie wird gewöhnlich von IT-Unternehmen verwendet, um die Infrastruktur von Keene aus der Ferne zu warten.

Der Grund für die Eigeninitiative der Stadtverwaltungen war eine andere Ausgangssituation: In Texas war man darauf vorbereitet. Offenbar dank dem Lerneffekt aus den vorangegangen Angriffen überall in den USA. Die Texaner hatten einen Notfallplan, mit Cyber-Teams, die schnell reagieren konnten. Die Teams setzten sich zusammen aus Experten von über 10 Regierungsbehörden und auch privaten Sicherheitsexperten. Alle halfen bei der Wiederherstellung der angegriffenen IT-Systeme.

Mit hineingespielt hat hier auch die Stimme des Steuerzahlerkollektivs. Zuletzt hatten diese sich bitterböse darüber geäußert, dass sie die Last der Lösegeldzahlung tragen mussten. Vor allem für diejenigen, die es versäumt hatten, ihre IT-Netzwerke zu sichern oder in sie zu investieren. Das weltweit führende IT-Unternehmen IBM hielt eine Umfrage dazu. Sie ergab, dass 60 % der US-Steuerzahler gegen die Nutzung ihrer Steuerzahlungen zur Lösegeldzahlung waren. 90 % aller Befragten waren dafür, dass die US-Regierung mehr Bundesmittel zur Verbesserung der Cybersicherheit in den Städten bereitstellt.

Gierige Hacker in Massachusetts

Die US-Steuerzahler haben wohl auch erkannt, dass die allzu schnelle Zahlung der Lösegeldsummen Folgen hat: Die Angreifer werden immer dreister. Und sie haben recht – die Gesamt-Lösegeldforderung in Texas war gering, verglichen zu der in der 100.000 Einwohner Stadt New Bedford in Massachusetts. 5,3 Mio. US-Dollar wollt

en Hacker Anfang Juni für die Wiederherstellung von der Stadt. Unter der schieren Last der Erkenntnis, dass 3.532 Rechner infiziert worden waren, boten sie den Angreifern eine Lösegeldsumme von 400.000 US-Dollar an. Diese Summe hätte auch der Versicherungsträger der Stadt bereitgestellt. Darauf gingen die Hacker nicht ein. Die Angestellten krempelten daraufhin die Ärmel hoch und machten sich ans Werk, die Variante der Ryuk Kryptomining Malware selbst zu entfernen. Obwohl die Angreifer zuvor mit ihrer Masche schon über 1,7 Mio. US-Dollar einkassiert hatten, gingen sie in Massachusetts also ganz leer aus. Die IT-Behörde der Stadt arbeitete zwei Monate lang an der Wiederherstellung der Computer. Es stellte sich dabei heraus, dass tatsächlich nur 158 Rechner infiziert worden waren. Das lag daran, dass 96 % der Rechner, aufgrund der Feierlichkeiten zum 04. Juli offline gewesen waren. Und diese 158 Rechner waren zudem für die Aufrechterhaltung des öffentlichen Dienstes der Stadt nicht sonderlich wichtig gewesen. Außerdem bauten sie gleichzeitig neue Sicherheitssoftware ein um für die Zukunft gerüstet zu sein. Dank der schnellen Reaktion und etwas Glück, konnte in New Bedford schlimmerer Schaden verhindert werden.

150 gemeldete Ransomware-Angriffe 2019 auf Behördencomputer in USA

Die Berichte über US-weite Ransomware-Angriffe gehen weiter und die Liste ist lang: bis dato in 2019 wurden annähernd 150 Ransomware-Angriffe gemeldet, die Dunkelziffer ist wohl deutlich höher. Während Texas und New Bedford ihre Fälle noch untersuchen und wiederherstellen, gibt es weitere Opfer. 30 der 150 Angriffe betrafen US-Bildungseinrichtungen, wobei kürzlich 13 identifiziert worden sind. Ziel der Hackerangriffe waren dieses Mal Schulbezirke, darunter das Rockville Center, New York; Moses Lake, Washington; New Kent, Virginia; Nampa, Idaho; Middletown und Wallingford, Connecticut; die öffentlichen Schulen in Mineola, New York; Wolcott und New Haven, Connecticut; das Stevens Institute of Technology in Hoboken, New Jersey. Die Watertown Daily Times, New York, das Hospiz von San Joaquin, Kalifornien und das Lake County in Indiana.

Die Schule Rockville Center erhielt eine Lösegeldforderung von 176.000 US-Dollar, die nach Verhandlungen reduziert werden konnte auf 88.000 Dollar. Die Cyberversicherung sprang ein und die Schule blieb letztendlich nur auf einem Selbstbehalt von 10.000 US-Dollar sitzen. Die Schulverantwortlichen trafen ihre Entscheidung zu bezahlen, auf die Höhe der Wiederherstellungskosten ohne den Freischaltungsschlüssel zu haben. Auch wollten sie den Schulbetrieb nicht unnötig belasten. Wie hoch die Lösegeldforderungen der anderen Opfer angesetzt waren, war noch nicht bekannt.

IT-Admins der fünf Wolcott Public Schools gaben Ende Juni einen Cyberangriff bekannt:

„Jeder Computer im Bezirk, jeder Server, jeder Netzwerk-Switch wurde angegriffen. Es bedeutete im Grunde, dass jede Datei, die auf einem Netzlaufwerk oder einer Festplatte gespeichert war, gesperrt war“,

sagten sie. Der Schulbezirk bestätigte später eine Lösegeldforderung von weniger als 10.000 US-Dollar. Wenig, im Vergleich zu anderen Opfern.

Stellt sich also die Frage: Warum gerade Schulen, wenn da nicht viel zu holen ist? Nun, amerikanische Schulbezirke sind ein besonders leichtes Ziel für Angreifer. Sie verfügen kaum über ein nennenswertes IT-Budget und sind sicherheitstechnisch schlecht aufgestellt. Hacker nehmen solche Opfer so nebenbei mit. Schlimmer steht es allerdings um die Bezirksregierungen. Nur etwas besser als die Schulbezirke, stehen die amerikanischen Gesundheitsorganisationen da. Allerdings berichtete CNN hierzu kürzlich über die Vorfälle bei Percsoft und Digital Dental Record. Diese Unternehmen bieten die Online-Dienste für die zahnmedizinische Branche an. CNN sprach von etwa 400 Kunden, deren Software mit Ransomware infiziert worden sei.

Ransomware-Desaster in Baltimore

Baltimore dagegen ist seit dem Angriff mit der RobbinHood Ransomware im Mai ein endloses Geld und Ressourcen verzehrendes Problem. Mittlerweile sind die Umsatzverluste auf über 8 Mio. US-Dollar angestiegen und noch kein Ende ist in Sicht. 10 Mio. US-Dollar wird allein die Wiederherstellung kosten – so wird jedenfalls geschätzt.

Viele Ransomware-Angriffe in den Vereinigten Staaten werden zunächst nicht gemeldet, heißt es von offizieller Seite. Insbesondere die gegen kleine und mittlere Unternehmen, die sich weitgehend an Versicherer wenden zur Begleichung der Lösegeldzahlung, sind unbekannt. Das FBI verfügt wohl über genauere Zahlen. Es spricht 2018 im Bericht zur Internetkriminalität von insgesamt 1.493 Fällen.

Wendi Whitmore, Vize Präsidentin für Threat Intelligence bei IBM Security sagte:

„Die Verwendung von Ransomware, um Städte als Geiseln für Lösegeldzahlungen zu halten, nimmt weiter zu. Und da die Betroffenen das Lösegeld an die Angreifer zahlen, steigt der Preis immer weiter. Ein häufiger Irrtum ist, dass die Zahlung des Lösegeldes das Problem sofort löst. Dabei gara

ntiert das aber nicht immer eine schnelle Wiederherstellung der infizierten Rechner. Viel Zeit und Geld sind nötig, um Rechner zu entschlüsseln und wiederherzustellen. Es besteht außerdem immer das Risiko, dass die Kriminellen sich noch ein paar gesperrte Dateien in der Hinterhand behalten.“

Gegenmaßnahmen gegen Ransomware

SANS IT Security Analyst Shawn Henry sagte in einem Bericht, dass er bereits viele Kommentare zu den Ransomeware-Vorfällen gelesen hätte. Man habe auf Dutzende dieser Angriffe reagiert, von denen viele auf staatliche und lokale Gemeinden abzielten. In den meisten Fällen konnten diese Angriffe durch den Einsatz einfacher Sicherheitsprotokolle verhindert werden. Dazu gehören auch Patches, Netzwerksegmentierung, Änderung von E-Mail-Verfahren und Einschränkung von Benutzerrechten. Unternehmen können zudem eine proaktivere Untersuchungs- und Verhaltensanalyse nutzen, um nach anomalen Aktivitäten zu suchen. Letztendlich ist dann die Sicherstellung guter Backups für die Wiederherstellung eine wichtige Maßnahme. Solange die Angriffe aber noch erfolgreich sind, werden Hacker sie weiterhin durchziehen. Seiner Ansicht nach könnten nur organisatorische Veränderungen sie langfristig in die Knie zwingen.

Bundesstaat North Carolina wappnet sich gegen Cyberangriffe

In diesem US-Bundesstaat wurden deutlich mehr Angriffe im Vergleich zu den Vorjahren gemeldet. Von jeweils einem Angriff in 2016 und 2017 steigerte sich die Zahl auf vier in 2018 und dieses Jahr waren es bis zum August bereits sieben Angriffe. Laut dem N.C. Department of Information Technology schließt das nur offiziell gemeldete Vorfälle ein. Die Zahlen dürften 2019 auch schon deswegen höher ausfallen, da Cyberangriffe nun per Gesetz offiziell gemeldet werden müssen. Die Angreifer nahmen sowohl große wie kleine Opfer ins Visier. Maria Thompson, Risikoverantwortliche des Department of Information Technology, bezeichnete solche Ziele in einem Interview als „die tief hängenden Früchte“.

Das Department of Information Technology gibt es schon seit etwas über einem Jahr. Eine neue Unterabteilung wurde gebildet, um speziell Cyberangriffe in North Carolina entgegenzuwirken. Diese Abteilung arbeitet direkt mit der Nationalgarde, dem Department of Homeland Security, dem FBI, SBI und dem U.S. Secret Service zusammen, um Informationen auszutauschen und Angriffe zu verhindern. Innerhalb weniger Stunden nach einem gemeldeten Angriff kann das Cyberteam der Nationalgarde vor Ort sein und unterstützen.

Außerdem erklärte Thompson:

„Der Staat hat kürzlich ein Pilotprogramm mit acht Kommunen ersten Ranges gestartet. Es handelt sich dabei um die wirtschaftlich am stärksten benachteiligten Kommunen. Computersensoren wurden installiert, die bösartige Aktivitäten blockieren und bekämpfen, bevor sie ein Netzwerk infizieren.“

Hintergrund ist hier die sicherheitstechnische Vorbereitung der Präsidentschaftswahlen 2020.

Aufräumungsarbeiten in Texas und Georgia nach Ransomware-Attacken

Ein Sprecher sagte in einer Erklärung, dass etwa ein Viertel der betroffenen texanischen Bezirks- und Stadtverwaltungen in der Lage gewesen seien, zumindest teilweise den Normal-Betrieb wiederherzustellen. Die Bezirksverwaltung in Grayson sowie die Polizeibehörden in Bonham, Vernon und Graham, zählen laut einer IT-Sicherheitsfirma ebenfalls zu den Betroffenen.

Lubbock County hatte Glück im Unglück – es erkannte die Infektion sofort und handelte schnell. Andere betroffene texanische Städte sind noch weit weg von der Rückkehr zur Normalität. Anders als bei privaten Unternehmen, merkt die Öffentlichkeit allerdings sehr schnell, wenn etwas mit der Gemeinde-Webseite nicht stimmt.

In Wilmer stand alles still und die städtische Bürokratie fand wie in alten Zeiten händisch statt. Obwohl es nur ein kleines Städtchen ist, wurde Wilmer erstaunlicherweise ein Millionenbetrag abgefordert.

Andere, wie die 13.000 Einwohner Städtchen Borger, hatten nicht so viel Glück. Der gesamte reguläre Verwaltungsapparat der Stadt wurde beeinträchtigt. Die wichtigsten Grund- und Notfalldienste wie Polizei, Feuerwehr, Notarzt, Tierschutz, Wasser, Abwasser und Müllabfuhr konnten wiederhergestellt werden. Der Rest ist weiter im Stillstand. Wie lange die Wiederherstellung des normalen Betriebs in Borger dauern wird, kann nicht gesagt werden, hieß es von offizieller Seite. Man arbeite mit Hochdruck daran.

In der Stadt Kaufman fielen alle Computer- und Telefonsysteme aus. Auch hier seien lediglich die Polizei und die Feuerwehr einsatzbereit. Nicht ganz eine Woche nach dem Angriff hieß es, dass die Systeme seien wiederhergestellt, mit ganz wenigen Ausnahmen.

Am 26. Juli traf die Unterabteilungen des Amtes für öffentliche Sicherheit im Bundesstaat Georgia ein Ransomeware-Angriff. Die Internetverbindungen der Georgia State Patrol, die Capitol Police und die Georgia Motor Carrier Compliance Division wurden lahmgelegt. Das hatte zur Folge, dass die Polizeifahrzeuge ihre Bordlaptops nicht verwenden konnten. Die Polizisten behielten allerdings einen kühlen Kopf. Sie behandelten den Ausfall wie jede andere geplante Wartung oder technische Störung. Ganz offensichtlich Vorfälle, an die sie gewöhnt sind. Nur Datenabfrage nutzen die Polizisten ihre Funkgeräte oder Diensthandys. In Bundesstaat Georgia war dies nicht der erste Vorfall im Juli. Die Georgia Emergency Management Agency sowie das Lawrenceville Police Department waren Anfang des Monats von Ransomware betroffen.

Viele andere betroffene Bezirks- und Stadtverwaltungen versuchen ihr Bestes, haben aber wenig Hoffnung, sich davon in aller Schnelle zu erholen. Die wenigen Erfolgsmeldungen beiseitegeschoben, sieht die Realität so aus, dass die kleinen Städte die größten Schwierigkeiten mit Cyberangriffen haben.

IT-Sicherheitsexperten sind sich im Grunde darüber einig, dass es nicht überraschend sei, dass gerade Texas hart von Ransomware getroffen worden ist. In den vorangegangenen Monaten dieses Jahres hatte es bereits sieben andere Angriffe in Texas gegeben. Interessant für Ransomware-Angriffe ist der Bundesstaat Texas vielleicht aus folgendem Grund: Texas hat 1.216 eingetragene Städte, aber nur 35 davon haben mehr als 100.000 Einwohner. Und es ist kein Geheimnis, dass kleinere Städte weniger gut gegen Ransomware Angriffe gerüstet sind. Dennoch ging die Rechnung der Angreifer im Fall Texas nicht auf.

Das FBI und andere Regierungsstellen untersuchen diesen und andere derzeit noch. Herausgekommen ist derweil nur wenig an Informationen. Identitäten und Aufenthaltsort der Täter sind schwer nachzuvollziehen. Die Geheimdienste haben jedoch Gründe davon auszugehen, dass die meisten aus Osteuropa, dem Iran und in einigen Fällen den Vereinigten Staaten stammen. Verwendet wird eine Malware-Variante genannt Sodinokibi. Was mal mit einem gezielten staatengemeinschaftlichen amerikanisch-israelischen Angriff auf die iranischen Nuklearwerke begann, ist heute zu einer regelrechten Einkommensquelle für Cyberkrimminelle geworden. Der Unterschied ist: Die Nuklearanlagen wurden stillgelegt. Die Stadtverwaltungen werden lahmgelegt und erpresst. Die Angreifer entwickeln sich mit jeder Angriffswelle weiter. Sie wenden neue und leistungsfähigeren Verschlüsselungsformen an und haben ausgeklügelteren Methoden zur Infizierung der Netzwerke mit bösartigem Code. Das Geschäft mit der Erpressersoftware ist für Kriminelle nun so lukrativ, dass sie sogar einen Teil ihrer Gewinne in die Forschung und Entwicklung zurückfließen lassen. Die Verhaftung der beiden Iraner Faramarz Shahi Savandi and Mohammad Mehdi Shah Mansouri hat die Kriminellen kaum abgeschreckt. Zwar wird nun keine SamSam-Malware mehr verwenden, dafür viel ausgereiftere Versionen.

Experten gehen davon aus, dass der koordinierte Angriff in Texas das Handwerk einer bestimmten Hackergruppe sein könnte. Details zum Stand der Untersuchungen konnten und wollten aber keine der Beteiligten abgeben. Von dem letztjährigen Angriff auf die Stadt Allentown im Bundesstaat Pennsylvania weiß man, dass es sich um ukrainische Hacker gehandelt hatte. In dem Fall war es äußerst frustrierend zu sehen, dass es einfach ein Schuss ins Blaue gewesen war, das zufällig Allentown traf. Ein beteiligter Experte sprach von „ganzen Lagern von Jugendlichen im Ausland, die massenhaft Phishing-E-Mails abfeuerten“.

Plausibel sei auch die Annahme, dass die Angreifer auf Basis einer klar definierten Liste von Zielen arbeiteten. Darunter könnten sich kleinere Dienstleister befinden, die mit den jeweiligen Stadtverwaltungen in Texas zusammenarbeiten. Daher ist es möglich, dass es durchaus eine viel größere Zahl potenzieller Opfer gegeben hat. Allerdings sind nur die 22 bekannten Opfer bekannt. Zu Gründen für die Verwundbarkeit der Stadtverwaltungen im Allgemeinen sprach ein IT-Profi aus, was vielleicht viele kleine Kommunen belastet: die hohen Kosten für IT-Sicherheitsdienste und mangelndes Interesse der Anbieter, kleinere Kunden zu bedienen.

Ein interessantes Detail ist auch die Tatsache, dass die Ermittlungsbehörden noch keine Erfolge vorzeigen können beim Dingsfestmachen von Tätern. Kalifornien, Connecticut, Michigan, Texas und Wyoming verfügen über Cyber-Gesetze. Sie befassen sich speziell mit Computererpressung. Andere US-Bundesstaaten haben Gesetze, die ausgerichtet sind auf Erpressung und Computerkriminalität. Allerdings seien die meisten der Ransomware-Gesetze erst seit wenigen Jahren in Kraft.

Landesweites Problem mit Ransomware in den Vereinigten Staaten

Auch wenn es nun den Anschein hat, dass überwiegend der Süden der Vereinigten Staaten von Ransomeware-Angriffen betroffen sei, ist die Realität anders. Texas, Georgia, Florida und Louisiana liegen in der Südhälfte. Die Angriffe fanden landesweit statt. Auch die Bundesstaaten New York, Pennsylvania, Utah, Washington, Michigan und einige andere waren betroffen. Die Angreifer wissen sehr wohl, dass die Vereinigten Staaten auf kommunaler Ebene nicht genügend präventive und forensische Maßnahmen ergreifen können, um die Bürger als Ganzes zu schützen.

Keine Lösegelder mehr für Hacker

Nach der großen Anzahl an Cyberangriffen in diesem Jahr, nimmt die Gegenwehr langsam Formen an. Im Juli unterzeichneten über 225 US-Bürgermeister eine Resolution: Künftig werden keine Lösegelder an Hacker mehr gezahlt.

„Die Bürgermeisterkonferenz der Vereinigten Staaten steht geschlossen gegen Lösegeldzahlungen im Falle eines Verstoßes gegen die IT-Sicherheit“,

heißt es in der Resolution, die auf der Jahrestagung der US-Bürgermeisterkonferenz angenommen wurde.

Siehe auch:

• Machen Lösegeldzahlungen bei Ransomware betriebswirtschaftlich Sinn?
• NSA-Tool EternalBlue taucht in US-Ransomware Angriffe auf
• Ransomware: US-Stadt Baltimore kämpft seit Mai mit den Nachwirkungen
• Bundesstaat Florida kämpft mit Ransomware-Attacken

Artikel von zdnet.com, 07.09.2019: No municipality paid ransoms in ‚coordinated ransomware attack‘ that hit Texas
Artikel von statescoop.com, 05.09.2019: Ransomware demanded $5.3M from Massachusetts city in July attack
Artikel von threatpost.com, 05.09.2019: $5.3M Ransomware Demand: Massachusetts City Says No Thanks
Artikel von darkreading.com, 05.09.2019: Attackers Hit Ceiling in Ransomware Demands
Artikel von arstechnica.com, 30.08.2019: Rash of ransomware continues with 13 new victims—most of them schools
Artikel von edscoop.com, 30.08.2019: Ransomware ‚halts everything‘ in Connecticut school district
Artikel von govtech.com, 30.08.2019: North Carolina Braces Against Wave of Ransomware Attacks
Artikel von nytimes.com, 22.08.2019: Ransomware Attacks Are Testing Resolve of Cities Across America
Artikel von arstechnica.com, 21.08.2019: While one Texas county shook off ransomware, small cities took full punch
Artikel von darkreading.com, 22.08.2019: Texas Towns Recover, but Local Governments Have Little Hope for Respite from Ransomware
Artikel von cnet.com, 29.07.2019: Georgia police hit with ransomware infection
Artikel von zdnet.com, 29.07.2019: Ransomware infection takes some police car laptops offline in Georgia

Urheberrechte Beitragsbild und Bilder im Text: Public Domain, Creative Commons CC0