Die Kleinstadt Florence im US-Bundesstaat Alabama muss etwa 300.000 US-Dollar in Bitcoin an Ransomware Erpresser zahlen, da sie nicht schnell genug auf eine Warnung des Sicherheitsforschers Brian Krebs reagierte.

Seinen Anfang nahm dieser Vorfall am 26. Mai. An dem Tag erhielt Brian Krebs einen Hinweis auf verdächtige Vorgänge von Hold Security, einer Cybersicherheitsfirma im Bundesstaat Wisconsin. Die Spezialistin für Darkweb Vorgänge, Yuliana Bellini, teilte ihre Funde mit Krebs. Sie hatte festgestellt, dass ein Username im Darknet aufgetaucht war, der zur Stadtverwaltung in Florenz verknüpft werden konnte. Krebs verglich den Namen mit dem Telefonverzeichnis auf der Webseite der Stadt und wurde fündig. Es stellte sich als der Name des IT-Managers höchstpersönlich heraus. Krebs schloss daraus, dass die MS Windows 10 Rechner der Stadtverwaltung von Angreifern gehackt worden waren, und zögerte nicht, sie davor zu warnen.

Doch es war nicht ganz so einfach, jemanden in der Stadtverwaltung zu finden, der ihm diese brisante Information abnehmen wollte. Nach dreimaliger Weiterleitung landete er schließlich in der Polizeizentrale des Städtchens und hinterließ eine Sprachnachricht. Krebs blieb jedoch hartnäckig und rief daraufhin das Notfallteam der Stadt an. Erst das fruchtete, denn am darauffolgenden Tag erhielt er einen Rückruf. Der Systemadmin höchstpersönlich danke herzlich ihm für die Vorwarnung. Krebs wurde erklärt, man habe das betroffene Nutzerkonto und den Rechner entsprechend isoliert. Die städtische IT-Verwaltung ging aber davon aus, dass die Gefahr damit gebannt war. Zehn Tage später stellt sich das allerdings als Trugschluss heraus. Der Bürgermeister gab am 05. Juli offiziell bekannt, dass die E-Mail-Systeme der Stadtverwaltung aufgrund eines Cyberangriffs heruntergefahren werden mussten. Von Ransomware war zu diesem Zeitpunkt noch keine Rede.

Allerdings bestätigte er in einem Telefonat gegenüber Brian Krebs ein paar Tage später, dass es sich um einen Ransomware Angriff handelte. Die Stadt war von der DoppelPaymer Gruppe erpresst worden. In Cybersicherheitskreisen ist diese Gruppe dafür bekannt, mit die höchsten Lösegeldsummen zu fordern. Sie setzt dabei Dutzende Arten von Ransomware-Software ein. Holt hatte noch mehr Infos für Krebs. Zum einen hatte man eine weitere IT-Sicherheitsfirma eingeschaltet, um das Netzwerk wiederaufzubauen. Die Aussperrung kam ihnen allerdings zuvor. Zum anderen stellte sich heraus, dass gleichzeitig noch Netzwerke von vier weiteren Kommunen angegriffen worden waren. Der Bürgermeister benannte sie nicht näher. Allerdings erläuterte er, dass die Angreifer 39 Bitcoins als Lösegeldsumme verlangt hatten. Er habe eine externe Sicherheitsfirma beauftragt, mit den Erpressern zu verhandeln. Daraufhin konnte die Forderung auf 30 Bitcoins heruntergehandelt werden.

Zur Absicherung ihrer Angriffe stehlen die Erpresser neuerdings im Vorfeld immer Daten ihrer Opfer. Damit haben sie ein Druckmittel in der Hinterhand, falls die Opfer sich weigern, zu zahlen. So war es laut dem Bürgermeister auch in diesem Fall. In der Stadtverwaltung war man sich sofort einig, dass man die personenbezogenen und finanziellen Daten der Bürger von Florence nicht gefährdet würde. Die Zahlung des Lösegeldes wurde einstimmig genehmigt.

Es war der Rechner von Steve Price, dem städtischen IT-Manager gewesen, dessen Microsoft Windows Zugangsdaten am 6. Mai gestohlen wurden. Price erläuterte, dass er Opfer eines Phishing-Angriffs mit dem Titel „DHL“ geworden war. Er habe am 26. Mai sofort eine Reihe von Präventivmaßnahmen ergriffen, um weiteren Schaden zu verhindern. Allerdings wurde alles lahmgelegt inmitten der Verhandlungen mit der Stadtverwaltung für weitere finanzielle Unterstützung zur genauen Untersuchung und Wiederherstellung der Systeme.

In einem Kommentar erläuterte Fabian Wosar, CTO bei Emsisoft:

„Unternehmen müssten verstehen, dass der einzige Schritt, der garantiert, dass eine Malware Infektion nicht zu einem vollen Lösegeldangriff wird, der komplette Neuaufbau des kompromittierten Netzwerks sei – einschließlich der E-Mail-Systeme“.

Anders, so Wosar weiter, würde man nicht aus der Sache, ohne Schaden zu nehmen, herauskommen.

Siehe auch:

• Die nächste Generation von Ransomware-Angriffen
• Britischer Bezirk Redcar and Cleveland kämpfen mit Ransomware
• Ransomware Angreifern auf den Fersen
• Stadt Sparks in Nevada denkt nach Ransomware Attacke um
• Ransomware trifft Krankenhaus in Wyoming, USA
• Ransomware BitPaymer trifft deutsches Unternehmen für Automatisierungstechnik
• Lake City in Florida: wegen Ransomware gefeuerter IT-Manager wehrt sich
• Ransomware überall und kein Ende in Sicht – jedoch Texas Angreifer mit langen Gesichtern
• NSA-Tool EternalBlue taucht in US-Ransomware Angriffe auf
• Bundesstaat Florida kämpft mit Ransomware-Attacken
• Machen Lösegeldzahlungen bei Ransomware betriebswirtschaftlich Sinn?

Artikel von krebsonsecurity.com, 09.06.2020: Florence, Ala. Hit By Ransomware 12 Days After Being Alerted by KrebsOnSecurity
Artikel von apr.org, 11.06.2020: Alabama city to pay $300,000 ransom in computer system hack

Urheberrechte Beitragsbild: Public Domain, Creative Commons, Markus Spiske über unsplash.com