Bereits im Mai wurde die Stadt Baltimore zum Stillstand gebracht. Alle Systeme des Rathauses wurden mit einer neuen Ransomware namens RobbinHood infiziert. Der Angreifer forderte ein Lösegeld von 13 Bitcoin (76.000 Dollar; 68.961 Euro), um die Systeme zu entschlüsseln. Dieselbe Methode wurde auch bei einem Angriff auf die Stadt Greenville, North Carolina, im April eingesetzt.

RobbinHood nutzt seine Berühmtheit

Diese beiden Vorfälle machten nach Bekanntwerden Schlagzeilen, vor allem wegen des Ausmaßes und der Schwere der Angriffe. So scheinen die Täter hinter RobbinHood diese Tatsache für ihren eigenen Gewinn zu nutzen. Joakim Kennedy, ein Cybersicherheitsforscher, hat eine neue Form der Malware entdeckt. Besonders die Lösegeldforderungen in den Fällen der Städte Baltimore und Greenville lassen darauf schließen, wie ernst ihre Situation ist. So sollte jede Hoffnung auf eine kostenfreie Entschlüsselung der betroffenen Dateien verloren gehen.

In der Nachricht wird dem Opfer mitgeteilt, dass der Angreifer seit einiger Zeit in seinem Netzwerk ist, seine Schwachstellen untersucht und dass das Lösegeld innerhalb von vier Tagen gezahlt werden muss. „… falls Sie die angegebene Frist nicht einhalten, erhöht sich das Lösegeld jeden Tag um 10.000 Dollar… Benachrichtigen Sie nicht das FBI oder andere Sicherheitsorganisationen.“

Die Angreifer prahlen nicht nur mit ihrem bisherigen Erfolg, sondern wiesen auch darauf hin, dass es kein öffentliches Entschlüsselungswerkzeug zur Wiederherstellung der betroffenen Dateien gibt, so dass es unmöglich ist, sie ohne den privaten Schlüssel der Angreifer wiederherzustellen.

Der Schaden, der durch einen RobbinHood-Angriff verursacht wird

Wenn wir uns den Schaden ansehen, den ein RobbinHood-Angriff verursachen kann, ist es nicht verwunderlich, dass der Vorfall in Baltimore so viel Aufmerksamkeit erregt hat und dass die Angreifer den Vorfall nutzen wollen, um mehr Geld zu verdienen. Obwohl das geforderte Lösegeld 76.000 Dollar betrug, gab die Stadt am Ende 4,6 Millionen Dollar für die Wiederherstellung aller Daten auf den betroffenen Computern aus. Außerdem waren die Systeme fast einen Monat lang außer Betrieb.

Das Rathaus schätzt jedoch, dass es bis zum Ende des Jahres 5,4 Millionen Dollar mehr ausgeben wird, was die Summe auf 10 Millionen Dollar erhöht. Und diese Zahl beinhaltet nicht den potenziellen Verlust von Einnahmen durch Steuern und anderen Gebühren, während die Systeme außer Betrieb waren. Andere Quellen zitieren eine noch höhere Zahl: 18 Millionen Dollar.

Aus den Fehlern Baltimores lernen

Es ist wahr, dass RobbinHood viel Schaden in den Systemen der Stadt angerichtet hat. Jedoch hat höchstwahrscheinlich auch das Verhalten der Stadt, sowohl vor als auch nach dem Vorfall, zu den erhöhten Kosten beigetragen. Der erste Kritikpunkt: Die Stadt hatte, im Gegensatz zu Atlanta, die 2018 einen Ransomware-Angriff erlitt, keine Versicherung zur Deckung der Kosten bei einem Cyberangriff – und das trotz mehrfacher Warnung. Der zweite Kritikpunkt: Die Stadt hatte keinen Cybersicherheitstrainingsplan für ihre Mitarbeiter. Außerdem wurden zwar Backups erstellt, es ist jedoch unklar, ob sie ausreichten, um das System wiederherzustellen. Darüber hinaus weigerte sich der Bürgermeister, die Existenz eines Disaster Recovery Plans (DRP) zu bestätigen, der bei der Bewältigung von Ransomware-Angriffen helfen sollte.

Vermeiden Sie die Kosten für Ransomware

Leider sind die Behauptungen der Angreifer wahr: Für RobbinHood gibt es vorerst keinen öffentlichen Entschlüsselungsschlüssel. Dies bedeutet jedoch nicht, dass die Zahlung des Lösegeldes die Beendigung des Ransomware-Angriffs darstellt. Tatsächlich sind sich die Cybersicherheitsexperten einig, dass die Zahlung des Lösegeldes nur das Problem verschlimmert und Cyberkriminelle ermutigt, weiterhin Angriffe durchzuführen. Bei Panda Security stimmen wir dieser Haltung zu und erinnern Sie auch daran, dass die Zahlung des Lösegeldes in keiner Weise garantiert, dass Ihre Daten wiederhergestellt werden.

Eine der wichtigsten Schutzmaßnahmen ist die Erstellung von Backups – um nach einem Angriff so schnell wie möglich zur Normalität zurückzukehren. Außerdem ist es von Vorteil, einen Reaktionsplan für Vorfälle zu haben, um zu wissen, wie man vorgehen muss, wenn Ihr Unternehmen von einer solchen Bedrohung betroffen ist.

Zusammen mit diesen Ratschlägen ist es essenziell, sich daran zu erinnern, dass Ransomware über eine breite Palette von TTPs verfügt, um in die IT-Systeme von Unternehmen zu gelangen. Deshalb ist es wichtig, jederzeit genau zu wissen, was auf dem System passiert, um die Angriffsfläche zu reduzieren. Eines der Prinzipien, auf denen Panda Adaptive Defense basiert, ist die Klassifizierung von 100% der Prozesse. Mithilfe dieser Methode kann sich Ihr IT-System automatisch an die Entwicklung der Angriffe anpassen. Es bietet auch eine vollständige Transparenz.

Als der Vorfall in Baltimore begann, berichteten viele Nachrichtenagenturen, dass die Ransomware über die Schwachstelle EternalBlue auf die Systeme gelang (- dies wurde später von einigen Forschern widerlegt). Was auch immer die Ursache war: Tatsache bleibt, dass viele Ransomware-Angriffe Schwachstellen für den Zugriff auf Unternehmensnetzwerke nutzen. Um auf diese Art von Vorfällen zu reagieren, verfügt Panda Adaptive Defense über ein zusätzliches Modul, Panda Patch Management. Es überwacht und priorisiert Updates, so dass Sie sicher sein können, dass Sie immer vor Schwachstellen abgesichert sind. Auf diese Weise können Sie die für Ihr Unternehmen benötigten Patches verwalten, ohne mehr Zeit oder Ressourcen investieren zu müssen. Und Sie vervollständigen Ihr Schutzsystem, um Ihre Vermögenswerte vor Angriffstrends wie RobbinHood zu schützen.