Dies war ein weiteres rekordverdächtiges Jahr für Lösegeldattacken. Die Angriffswellen in den USA zu Beginn des Jahres, gefolgt von Angriffen auf öffentliche Verwaltungen in ganz Europa und die jüngsten in Spanien aufgedeckten Verstöße haben dazu geführt, dass Lösegeldforderungen weiterhin auf der Liste der wichtigsten Cyberbedrohungen im Jahr 2019 stehen. Und die Statistiken sprechen für sich: Lösegeldattacken sind im Jahr 2019  um 500% angestiegen.

Alle Organisationen sind Sicherheitsverletzungen ausgesetzt: von großen multinationalen Unternehmen bis hin zu KMU und öffentlichen Verwaltungen. Tatsächlich ist laut Weltwirtschaftsforum der Anteil der Organisationen, die im Jahr 2018 einen Angriff erlebt haben, auf 61% gestiegen. Der Wert von 2019 dürfte noch höher liegen. Dies ist vor allem auf den Anstieg der Lösegeldangriffe zurückzuführen, die wir das ganze Jahr über in verschiedenen Angriffswellen gesehen haben.

Diese sind speziell dafür entworfen worden, massiv auf einmal eingesetzt zu werden. Wir haben eine große Anzahl von Taktiken, Techniken und Prozeduren (kurz: TTPs) identifiziert, die von Angreifern verwendet werden zur Verletzung der Sicherheit der Opfer.

Die ersten Anzeichen

Die frühesten Indikatoren für eine Serie von Lösegeldangriffen, die wir erlebten, fand im Januar statt. Die Stadt Del Rio, Texas, meldete einen Lösegeldangriff, der sie zwang, ihre administrativen Aufgaben manuell, mit Stift und Papier, durchzuführen. Del Rios Management-Informationsdienstleister waren verpflichtet, die Computer des Rathauses abzuschalten, um die Mitarbeiter davon abzuhalten, auf das System zuzugreifen und die Infektion zu verbreiten.

Nach Angaben von US-Medien wurde der Angriff mit einer ungewöhnlichen Strategie durchgeführt. Die Lösegeldforderung enthielt eine Telefonnummer, um mit den Angreifern zu kommunizieren und Anweisungen zu erhalten, wie sie für die Wiederbeschaffung ihrer Dateien bezahlen können.

Im März erlitt das norwegische Unternehmen Norsk Hydro einen verheerenden Angriff, als eine Erpressungssoftware namens LockerGoga in sein Netzwerk eindrang und die Schließung von 22.000 Endpoints in 40 Ländern erzwang. Dies war ein sehr gezielter Angriff; laut BBC verbrachten die Angreifer Wochen auf den IT-Systemen des Unternehmens und suchten nach Schwachstellen und Verwundbarkeiten, bevor sie die Lösegeldforderung starteten. Das Unternehmen hat bisher über 45 Millionen Pfund (50 Millionen Euro) ausgegeben, um sich von den Folgen des Angriffs zu erholen.

LockerGoga wurde höchstwahrscheinlich über eine Phishing-Attacke bereitgestellt, möglicherweise versteckt in Word-Dokumenten mit bösartigen Makros. Einige der Merkmale der Lösegeldforderung könnten darauf hindeuten, dass die Verschlüsselung von Dateien und die Forderung nach Lösegeld nicht das Hauptziel von LockerGoga ist. In einigen Varianten ändert die Malware das Passwort des Administrators und meldet das Opfer mit logoff.exe ab, was die Zahlung des Lösegeldes deutlich erschwert.

Der Fokus verlagert sich auf die öffentliche Verwaltung der USA

Während der Trend zu Angriffen auf öffentliche Verwaltungen mit dem Vorfall in Del Rio begann, begannen ähnliche Organisationen erst einige Monate später zu fallen. Im März löste das Rathaus von Jackson County, Georgia, eine Diskussion aus, als es die 400.000 Dollar Lösegeld, die von Cyberkriminellen nach einem Lösegeld-Angriff gefordert wurden, bezahlte – wahrscheinlich eine Variante von Ryuk. Die Infektion hat fast alle Systeme der lokalen Regierung außer der Website und dem Notfallsystem zum Erliegen gebracht.

Ebenfalls Anfang März fiel die Police Federation of England and Wales einem Lösegeldangriff zum Opfer, bei dem es gelang, ihre Datenbanken und Server zu verschlüsseln. Der Angriff schaffte es auch, die Backups zu löschen, die die Organisation erstellt hatte.

Im April erlitt Augusta, Maine, einen so genannten hochgradig gezielten Lösegeldangriff. Die Angreifer forderten ein Lösegeld von mindestens 100.000 Dollar. Glücklicherweise gelang es dem Rathaus, der Lösegeldforderung entgegenzuwirken, indem ihre Systeme am nächsten Tag fast wieder normal zum Laufen gebracht werden konnten.

Im Mai wurden innerhalb von zwei Tagen zwei Städte angegriffen. Die erste war Cartersville am 6., am 7. wurde Lynn von einer Lösegeldforderung namens „Herpes 1.2“ getroffen, welches das Online-Parkplatzzahlungssystem der Stadt infizierte.

Der 7. Mai ist auch der Zeitpunkt, an dem die Stadtregierung von Baltimore bekannt gab, dass sie die meisten ihrer Server aufgrund eines Lösegeldangriffs gesperrt hatte. Die Angreifer verlangten für jeden Computer 3 Bitcoins Lösegeld, oder 13 Bitcoins, um die ganze Stadt zu befreien. Die Systeme der Stadt waren fast einen ganzen Monat lang außer Betrieb. Bis heute hat die Stadt 4,6 Millionen Dollar für die Wiederherstellung der Daten auf all ihren Computern ausgegeben.

Der verwendete Stamm der Erpressungssoftware wird RobbinHood genannt. Laut Bleeping Computer gelangt die Lösegeldforderung nicht über Spam auf die Computer, sondern nutzt die Vorteile von Remote Desktop Protokollen (RDP) oder anderen Trojanern, die dem Angreifer den Zugriff ermöglichen können. In den letzten Monaten gab es einige Hinweise darauf, dass die Angreifer, die die Systeme in Baltimore verschlüsselt haben, stolz auf ihre Arbeit sind: Eine neue Variante von RobbinHood enthält einen Link, der auf den erfolgreichen Angriff auf die Stadt Baltimore hindeutet, um den Ernst der Lage zu stärker zu vermitteln.

Leider war dies erst der Beginn des „Sommers der Unzufriedenheit“ in den Vereinigten Staaten. Zwei Städte in Florida wurden innerhalb einer Woche angegriffen, die beide die umstrittene Entscheidung trafen, die Lösegelder zu zahlen – 65 Bitcoins (über 600.000 €) in Rivera Beach und 42 Bitcoins (420.000 €) in Lake City.

Im Juli gab es Lösegeldvorfälle in Richmond Heights und im Georgia Department of Public Safety.

Einer der auffälligsten Vorfälle ereignete sich am Morgen des 16. August: insgesamt 22 lokale Regierungen in Texas wurden Opfer eines koordinierten Angriffs. Obwohl die texanischen Behörden nicht enthüllten, welche Lösegeldforderungen verwendet wurden, gaben sie doch bekannt, dass die 22 Angriffe aus derselben Quelle stammten. Es wurde 2,5 Millionen Dollar Lösegeld gefordert.

Die Welle trifft den Rest der Welt

Im Herbst sahen wir in Europa und dem Rest der Welt Lösegeldanschläge. Mitte September wurden mehrere Rathäuser und Institutionen in Spanien betroffen. Im Baskenland gab es mindestens vier Berichte über mutmaßliche Cybersicherheitsverbrechen, während die Stadtverwaltung bekannt gab, dass sie von einem Ransomware namens Ryuk angegriffen wurde. Diese Krypto-Malware verschlüsselte die auf über 50 Servern gespeicherten Dateien und zwang die Mitarbeiter der Stadtverwaltung, ihre Arbeit von Hand (mit Stift und Papier) zu erledigen.

In Deutschland wurde ein großer Hersteller von Automatisierungstools über eine Woche lang durch einen Vorfall mit der Ransomware BitPaymer lahmgelegt.

Die Systeme der Stadt Johannesburg in Südafrika wurden zeitgleich von Angreifern gekapert.

Zu den jüngsten Opfern von Lösegeldern gehören mehrere spanische Firmen, deren Systeme Anfang November verschlüsselt wurden. Panda hatte Zugang zu der Lösegeldforderung, die die betroffenen externen Kunden erhalten haben. Dabei konnte festgestellt werden, dass diese Vorfälle viele Merkmale mit der Lösegeldforderung von BitPaymer teilen.

PandaLabs erklärt: „Nach unseren noch nicht bestätigten Voruntersuchungen ist eine der stärksten Hypothesen, dass es sich bei den Opfern um Unternehmen handeln könnte, die von einigen der in den vergangenen Wochen gestarteten Spam-Kampagnen betroffen sind. Deren Ziel es ist, die Rechner mit der Malware Emotet zu infizieren. Wenn dies der Fall ist, dürften sich die Lösegeldforderungen bis jetzt zurückgehalten haben, als Emotet´s C&C-Server wieder aktiviert wurde und BitPaymer geschickt hat, um eine neue Angriffswelle zu starten.“

Das jüngste Opfer ist der mexikanische Ölkonzern Pemex. Am 11. November wurden mehrere Computer gekapert, wodurch die Mitarbeiter an ihrer Arbeit gehindert wurden. Die IT-Abteilung riet den Mitarbeitern, die Verbindung zu ihren Computern zu trennen.

Die wichtigsten Ursachen

Obwohl diese Serie von Angriffen zeitlich und formal zusammenfielen, haben sie in der Praxis alle eine Vielzahl von Techniken eingesetzt, um in die Systeme ihrer Opfer zu gelangen. Die Hauptursachen für diese Lösegeldattacken sind die folgenden:

  • Bei dem Vorfall bei Norsk Hydro verbrachten die Angreifer Monate auf dem System des Unternehmens und suchten nach Schwachstellen, die in Verbindung mit Spam zum Starten der Lösegeldforderung genutzt werden könnten. Und dies ist kein Einzelfall; tatsächlich ist die Ursache für jede dritte Sicherheitslücke eine ungepatchte Schwachstelle. Einer der berüchtigsten Lösegeld-Angriffe der Geschichte – WannaCry – nutzte eine Schwachstelle aus, um auf rund 300.000 Computer weltweit zu gelangen.
  • 92 % der weltweiten Malware gelangt über Phishing in die Welt, und Lösegeldforderungen bilden da keine Ausnahme. Es kann in Anhängen mit Makros oder Links zu bösartigen URLs versteckt werden. Eine der Theorien, wie die Lösegeldforderung im November in spanische Unternehmen gelangte, ist, dass sie über eine Phishing-E-Mail des Botnetzes Emotet eingeschleust wurde.
  • Angriffe auf die Lieferkette. Um den massiven Angriff in Texas durchzuführen, wurde eine Technik namens „Island Hopping„angewendet. Beim Island-Hopping dringen Cyberkriminelle in die Netzwerke kleinerer Unternehmen – beispielsweise Marketing- oder Personalunternehmen – ein, die in der Regel Anbieter für das Endziel sind, und nutzen diese Eintrittspforte, um Zugang zu größeren Organisationen zu erhalten. Im Fall von Texas war das Insel-Hopping möglich, weil sich die vielen betroffenen Gemeinden den gleichen Software- und IT-Systemanbieter teilen.

Null Vertrauen im Kampf gegen Lösegeldforderungen:

Die einzige Lösung, die noch nie von solchen Angriffen betroffen war

Es bleibt die Tatsache, dass Lösegeldforderungen eine ständig präsente Bedrohung darstellen, die nur sehr schwer einzudämmen ist, wenn man nicht über den entsprechenden Schutz verfügt und nicht die richtigen Schritte befolgt. Das Wichtigste ist es, einen Zero-Trust-Ansatz für die Sicherheit zu verfolgen: Bleiben Sie jederzeit kritisch, bis Sie sicher sein können, dass es nicht bösartig ist, und stellen Sie alles in Frage.

Panda Adaptive Defense basiert nicht auf Signaturen oder traditionellen Techniken, sondern im Zero-Trust-Verfahren aller Aktivitäten auf allen Endpoints. Zu diesem Zweck überwacht es proaktiv jegliche Aktivitäten auf jedem Computer und Server, um jeden Prozess auf allen Geräten im Unternehmen zu klassifizieren und deren Verhaltensprofile zu definieren. Wenn es irgendeine anormale Aktivität entdeckt, auch wenn es zunächst kein verdächtiges Profil hat, blockiert es diese und analysiert sie, um eine Entscheidung über das weitere Vorgehen zu treffen. Außerdem verfügt es über eine Anti-Exploit-Technologie, die in der Lage ist, bösartige Skripte und Makros zu erkennen.

99,98% der Entscheidungen werden dank Verfahren der künstlichen Intelligenz, die auf Deep-Machine-Learning basieren, automatisch getroffen. Die restlichen 0,02 % der Entscheidungen werden an ein Team von Experten für die Bedrohungssuche delegiert und skaliert, die die Art des Prozesses bestimmen und gleichzeitig die automatischen Algorithmen bereichern und perfektionieren.

Darüber hinaus können Sie mit Panda Patch Management die Angriffsfläche weiter reduzieren. Dieses Modul sucht nach Patches und Updates für Betriebssysteme in Hunderten von Anwendungen und wendet diese an, so dass Schwachstellen kein Einbruchsrisiko darstellen.

Wir können Ihnen sagen, wie diese Angriffe funktionieren, welche Schwachstellen sie ausnutzen. Wir können Ihnen auch sagen, dass sie keineswegs die letzten sein werden. Das einzige, was wir nicht wissen, ist, wann der nächste massive Angriff erfolgt.

Machen Sie sich bereit und stärken Sie Ihre Systeme mit Panda Adaptive Defense. Dank seines Zero Trust-Modells ist es in der Lage, Prozesse zu 100% zu klassifizieren und zu validieren, bevor sie auf Ihren Computern ausgeführt werden können. Diese Ebenen der Sichtbarkeit und Kontrolle stärken unsere Präventions-, Erkennungs- und Reaktionsfähigkeit.

Aus diesem Grund sind keine Kunden von Panda Security von einer dieser Lösegeldwellen betroffen.