Die Hackergruppe „DarkSide“ und deren „Partnerunternehmen“ haben ein US-Treibstoff-Unternehmen mit einer Ransomware angegriffen. Dies ist ein typisches Beispiel für einen RaaS (Ransom as a Service)-Angriff. Es wird eine Schadsoftware von einem kleinen Team entwickelt, diese Software wird dann den anderen Bösewichten zur Verfügung gestellt. Dieses kleine Team kümmert sich auch um die Lösegelder der Opfer. Mit dem eigentlichen Angriff haben sie aber nichts zu tun. Diesen Schritt übernehmen deren „Partner in crime“, quasi die Außendienstmitarbeiter. Als Gegenleistung erhalten sie einen Löwenanteil des erpressten Geldes.
So funktioniert das Co-Working der Kriminellen
Die Kerngruppe lauert derweil kaum sichtbar im Hintergrund und betreibt eine Art Franchise-Betrieb, bei dem sie üblicherweise 30 Prozent (nach eigenen Angaben) jeder Zahlung in die eigene Tasche steckt.
Es werden folgende Schritte eingeleitet:
• Potenzielle Ziele finden und Erkundigungen einholen.
• Einbruch in das Unternehmen, durch gefundene Schwachstellen.
• Erlangen administrativer Rechte im Netzwerk.
• Finden jedes einzelnen Computers und Server-Systeme im Netzwerk.
• Lokalisierung und Neutralisierung vorhandener Backups.
• Exfiltrieren vertraulicher Firmendaten für ein extra Druckmittel bei der Erpressung.
• Ausschalten der Sicherheitsmechanismen, welche im Weg stehen.
• Auswahl einer für das Unternehmen besonders „unangenehmen“ Tageszeit sprich am Wochenende oder nachts.
Und daraufhin setzen die Cyberkriminellen den Ransomware-Code frei, mit dem sie vom Drahtzieher im Hintergrund versorgt wurden. Die Verschlüsselung (nahezu) aller Computer im Netzwerk dauert dann nur wenige Minuten.
Dann werden Sie zur Kasse gebeten
Die Idee hinter diesem Angriff ist den Computer und die darauf befindlichen Daten zu verschlüsseln. Die Nutzer können zwar noch die Anwendungen öffnen, um den Anschein eines funktionierenden Systems zu wahren, aber nicht mehr auf die Dateien zugreifen.
Um die Daten zu öffnen ist ein Dechiffrier-Schlüssel notwendig. Dieser befindet sich aber in der Hand der Angreifer. Jetzt ist der Zeitpunkt gekommen, wo die „Verhandlungen“ beginnen. Die Hacker bauen darauf, dass die IT-Infrastruktur des Opfers durch die verschlüsselten Daten stark beeinträchtigt ist, und das Opfer somit bereit ist, ein Lösegeld zu zahlen.
Obwohl davor gewarnt wird solch ein Lösegeld zu zahlen, entschied sich das Unternehmen in diesem Beispiel zu einer Zahlung von rund 4,4 Millionen US-Dollar in Bitcoins zu überweisen.
Der diesjährige Sophos Ransomware-Report State of Ransomware 2022 enthüllt, dass nur 4% der Zahler weltweit sämtliche Daten zurückerhalten. Im Durchschnitt bekommt man nur zwei Drittel (genau: 60,56%). In Deutschland liegt der Anteil bei 64%. Aus weltweiter Sicht liegt dieser Wert bei Betrieben der Energieversorgung nur geringfügig höher mit 62% (genau: 61,59%). Das bedeutet: Zahlt ein Unternehmen das Lösegeld, hat es dennoch sehr hohe Verluste an Daten hinzunehmen. Keinesfalls ist damit der Fall erledigt.
Nach der Lösegeldzahlung kommt die Strafgebühr
Auf den Pipeline-Betreiber kam nun auch ein behördlicher Appell zu: Das US-Department of Transportation brummte dem Betrieb eine Zivilstrafe von 986.400 US-Dollar auf. Die PHMSA legte dar, dass die primären operationalen Mängel, die für mehr als 85 Prozent der Gebühr verantwortlich sind (846,300 US-Dollar) „ein wahrscheinliches Versäumnis sind, die manuelle Abschaltung und Wiederinbetriebnahme seines Pipelinesystems angemessen zu planen und vorzubereiten“.
Handlungsempfehlung oder doch nur ein Einzelfall?
Das mag zwar wie ein außergewöhnlicher Fall klingen, denn wer betreibt schon eine Pipeline. Dennoch werden in diesem Zusammenhang einige Probleme genannt, aus denen alle lernen können:
Bei dem Pipeline-Betreiber lagen die Probleme im internen Bereich des Unternehmens, wie Überwachungssteuerung und Datenerfassung, industrielle Steuerungssysteme und Betriebstechnologie. Auch wenn die Betriebstechnologie und IT-Funktionen wie zwei separate Netzwerke erscheinen, die möglichen Konsequenzen in dem einen Bereich, können direkt und sogar gefährlich den anderen Bereich beeinflussen.
Noch wichtiger, vor allem für viele kleinere Unternehmen, ist, dass selbst wenn keine Pipeline, kein Stromversorgungsnetz oder kein Kraftwerk betrieben wird, höchstwahrscheinlich trotzdem eine Art Betriebstechnik-Netzwerk im Einsatz ist, das aus IoT-Geräten wie Sicherheitskameras, Türschlössern und Bewegungssensoren besteht.
Und diese werden meist im gleichen Netzwerk betrieben, in dem sich auch das gesamte IT-System befindet. Die Cybersicherheitsmaßnahmen beider Gerätetypen sind also untrennbar miteinander verwoben.
Was können wir für unsere IT-Sicherheit daraus lernen?
Jedes der oben genannten Versäumnisse kann versehentlich auftreten. Laut Sophos Ransomware Report 2022 gaben zwei Drittel (genau: 66%) der Befragten an, im vorigen Jahr Opfer eines Ransomware-Angriffs geworden zu sein. Der Energieversorgungs-Sektor lag mit 75% sogar deutlich über dem Durchschnitt. Bei rund zwei Dritteln davon wurden die Daten verschlüsselt und die Hälfte von ihnen verhandelte mit den Kriminellen.
Für viele Betriebe gilt, dass die IT „nebenbei“ erledigt wird. Wer in dieser Situation ist, sollte sich einen externen Berater ins Haus holen, um mögliche Risiken frühzeitig zu erkennen und z.B. Ransomware-Angriffe zu vermeiden. Diese Investition sollte als eine Investition in eine sichere Zukunft angesehen werden.
Cybersecurity ist ein Prozess, kein Ziel. Ein erfolgreicher Angriff hinterlässt immer einen Schaden und hat Nachwirkungen auf Ressourcen und Betriebsfähigkeit. Die Stärke des Einschlages hängt dabei stark von Reaktionsschnelligkeit, Vorsorge und angelegtem Sicherheitsprozess ab.