Schlüsselwort-Archiv: Cyberkriminalität\

Erpressung: Zahlen oder nicht zahlen? Das ist hier die Frage.

In manchen Artikeln zum Thema „was tun bei Ransomware-Angriffen“, las ich teilweise Folgendes: „Ziehen Sie eine Lösegeldzahlung in Erwägung.“ Diese Worte lösen bei mir immer einen tiefen Seufzer aus … ich lasse die Luft langsam aus meinen aufgeblasenen Backen entweichen, während ich den Browser-Tab schließe. Warum ich so reagiere? Weil man Erpressern unter keinen Umständen Lösegeld zahlen sollte! Die Tatsache, dass man damit kriminelle Aktivitäten unterstützt, ist auch nicht der einzige Grund dafür. Es gibt da noch einige weitere Gründe. Folgend werde ich sie einzeln erklären:

Erstens: Weil mit dem Lösegeld Malware gesponsert wird

Read on: Erpressung: Zahlen oder nicht zahlen? Das ist hier die Frage.

Ransomware: Hier hört der Spaß auf!

Zunächst einige Informationen zur Vorgeschichte:

Am 10. September wurde das Universitätsklinikum Düsseldorf Opfer eines Cyberangriffs bei dem insgesamt 30 interne Server durch die Ransomware-Malware DoppelPaymer verschlüsselt werden konnten; der Patientendurchsatz sah sich durch diesen Vorfall enorm beeinträchtigt. Nur wenige Tage später war das Klinikum infolge des IT-Ausfalls seiner Installationen dazu gezwungen, einer lebensbedrohlich erkrankten Patientin die Krankenhausaufnahme und eine damit verbundene Notoperation zu verwehren. Die Frau wurde umgehend in ein Wuppertaler Krankenhaus umgeleitet, verstarb allerdings noch auf dem Weg ins benachbarte Klinikum. Es handelt sich hierbei um den ersten bekannten Ransomware-Angriff mit Todesfolge.

Der tödliche Unfall (vorausgesetzt, die Angreifer waren sich einem solch schwerwiegenden Ausgang nicht bewusst) ist und bleibt tragisch – vor allem die Tatsache, dass in diesem Fall grundlegende Regeln der Cybersicherheitshygiene ganz klar vernachlässigt wurden, lässt einiges zu wünschen übrig. Dazu gesellt sich die offensichtliche Unfähigkeit der Strafverfolgungsbehörden, den beteiligten organisierten Kriminellen erfolgreich entgegenzutreten.

Die Hacker konnten das Krankenhausnetzwerk über eine Schwachstelle auf den Citrix Netscaler-Servern, die als Shitrix bekannt ist und bereits im Januar dieses Jahres gepatcht wurde, angreifen. Es scheint, als hätten die Systemadministratoren also viel zu lange mit der Installation des Patches gewartet. Diese Nachlässigkeit ermöglichte es den Kriminellen, in das Netzwerk einzudringen und eine Backdoor zu installieren.

Bis zu diesem Punkt handelt es sich um harte Fakten. Im Anschluss folgen einige Vermutungen, die bis dato so nicht bestätigt werden konnten, die aber dennoch mehr als wahrscheinlich sind …

Es ist nicht auszuschließen, dass die Backdoor in Untergrundforen als „Universitäts-Backdoor“ an andere Hacker verkauft wurde. Tatsächlich zielte der Angriff ursprünglich auf die nahe gelegene Heinrich-Heine-Universität ab. Das geht immerhin aus der von den Erpressern verfassten E-Mail hervor, in der diese ein Lösegeld für die Freigabe der von ihnen verschlüsselten Daten fordern. Nachdem die Hacker auf ihr tatsächliches Angriffsziel aufmerksam wurden, händigten sie dem Krankenhaus umgehend alle Schlüssel zur Entsperrung der Systeme aus (und tauchten ab). All das erweckt den Eindruck, dass Cyberkriminelle kein besonderes Interesse an Krankenhäusern zu haben scheinen. Sie gelten als zu „toxisch“ (wie dieser Vorfall auf die schlimmste – tödlichste – Art und Weise gezeigt hat).

Hinter der Malware DoppelPaymer wird die russischsprachige Hackergruppe Evil Corp, der weitere hochkarätige Cyber- und Ransomwareangriffe (darunter auch der Angriff auf das Garmin-Netzwerk) zugeschrieben werden können, vermutet. Im Jahr 2019 erhob die US-Regierung deshalb bereits Anklage gegen Einzelpersonen der Gruppe Evil Corp und setzte eine Belohnung in Höhe von fünf Millionen US-Dollar für Unterstützung bei der Festnahme dieser Personen aus. Merkwürdig ist, dass die Kriminellen keine Unbekannten sind, sondern bis vor kurzem sogar noch mit ihrem glamourösen Gangster-Lifestyle prahlten – auch in den sozialen Medien.

Quelle

In unserer Welt scheint momentan einiges gewaltig schief zu laufen. Zum einen wäre da die Tatsache, dass Krankenhäuser überhaupt unter den kriminellen Machenschaften skrupelloser Ransomware-Hacker zu leiden haben – auch, wenn das Klinikum den Kriminellen in diesem Fall ganz offensichtlich nur durch eine Verwechselung zum Opfer gefallen ist. Dennoch ist auch das zweite Szenario, das sich aus eben dieser Verwechslung ergibt, nicht besonders vielversprechender: denn es bedeutet nur, dass nun auch Universitäten ins Blickfeld von Cyberkriminellen geraten sind (oft, um Forschungsdaten zu stehlen – einschließlich COVID-19-bezogene Daten). Doch auch aus Cybersicherheitsperspektive gibt es einiges zu bemängeln …

… denn, wie kann ein Krankenhaus überhaupt so nachlässig sein? Eine Schwachstelle nicht rechtzeitig zu patchen, sodass Cyberkriminellen Tür und Tor weit offenstehen und Backdoors ohne Probleme installiert werden können? Wie oft haben wir in der Vergangenheit schon betont, dass FreeBSD (damit arbeitet Netscaler) in keinster Weise sicher, sondern genau das Gegenteil der Fall ist: Hierbei handelt es sich um den „falschen Freund“ eines jeden Cybersicherheitsexperten. Dieses Betriebssystem ist keineswegs immun und weist Schwachstellen auf, die sich für ausgeklügelte Cyberattacken ausnutzen lassen. Und dann wäre da natürlich noch die Tatsache, dass eine so kritische Einrichtung wie ein Krankenhaus (also infrastrukturelle Organisationen) einen mehrstufigen Schutz benötigen, bei dem jede Ebene die andere unterstützt: Hätte das Krankenhaus einen zuverlässigen Schutz für das interne Netzwerk installiert, hätten es die Hacker vermutlich nie so weit geschafft.

Die deutsche Polizei untersucht nun die Vorgänge, die zum Tod der Patientin geführt haben. Und ich hoffe wirklich, dass sich die deutschen Behörden mit einem formellen Ersuchen für Zusammenarbeit bei der Festnahme der beteiligten Kriminellen an die russischen Behörden wenden werden.

Damit die Polizei ein Strafverfahren einleiten kann, muss zumindest eine formelle Erklärung / ein formeller Antrag oder der Gegenstand eines begangenen Verbrechens vorgelegt werden. Presseartikel oder jegliche Art informeller Kommentare oder Ankündigungen werden vom Rechtssystem nicht anerkannt. Mit anderen Worten: Kein formeller Antrag – kein Fall. Wenn es jedoch glaubwürdige Beweise für ein begangenes Verbrechen gäbe, dann würde ein zwischenstaatliches Interaktionsverfahren greifen, das befolgt werden muss. Alles sehr formal, aber so ist es nun mal. Die Regierungen müssen ihre politischen Vorurteile überwinden und gemeinsam handeln. Denn, wie dieser Fall gezeigt hat, stehen bereits Menschenleben auf dem Spiel. Während die internationale Zusammenarbeit durch die Geopolitik weitgehend eingefroren ist, werden Cyberkriminelle immer wieder neue verdorbene Handlungen gegen die Menschheit einleiten.

UPDATE: Der erste Schritt zur Wiederaufnahme der Zusammenarbeit im Bereich Cybersicherheit ist bereits getan. Ich drücke weiterhin die Daumen …

Übrigens: Ist Ihnen aufgefallen, dass es kaum Nachrichten über erfolgreiche Angriffe von Ransomware-Hackern auf russische Organisationen gibt? Haben Sie sich jemals gefragt, warum das so ist? Ich persönlich werde diese sinnlosen Verschwörungstheorien über Hacker, die angeblich für russische Geheimdienste arbeiten (Humbug, es gibt weltweit viele Ransomware-Gruppen, nicht nur in Russland) nicht einen Augenblick lang in Erwägung ziehen. Meiner Meinung nach liegt das daran, dass die meisten russischen Unternehmen durch hochwertigen Cyber-Schutz geschützt sind. Und schon bald werden sie durch ein cyber-immunes Betriebssystem geschützt sein. Ja, genau dieser Schutz, der für den Einsatz in staatlichen US-Institutionen verboten wurde. Stellen Sie sich das mal vor.

UPDATE 2: Erst gestern wurde ein Ransomware-Angriff auf eine der größten amerikanischen Krankenhausketten, die UHS, gemeldet: Ihre Computer, die etwa 250 Einrichtungen im ganzen Land versorgen, wurden lahmgelegt, was dazu führte, dass Operationen abgesagt, Krankenwagen umgeleitet und Patientenregistrierungen auf Papier ausgefüllt werden mussten. Es gibt noch keine weiteren Einzelheiten zu diesem Vorfall …

 

Eine kurze Geschichte der DDoS-Angriffe

Nun ist es also passiert: Die Abkürzung „DDoS“ wurde in einem solchen Ausmaß in Lexika aufgenommen, dass sie heute in den allgemeinen Zeitungen oft erst gar nicht ausgeschrieben wird. Nun, manche mögen noch immer nicht wissen, wofür die Abkürzung steht, aber jedem ist bekannt, dass ein DDoS für viele nichts Gutes bedeutet, dass etwas sehr wichtiges plötzlich nicht mehr funktioniert, Angestellte wegen eines Netzwerkausfalls Däumchen drehen, und der technische Support durch die vielen Anrufe eine Abkühlung braucht – und verärgerte Kunden sie durchgängig verfluchen. Außerdem weiß wirklich jeder, dass ein DDoS-Angriff normalerweise von unbekannten, mysteriösen – und einfach nur niederträchtigen – Cyberkriminellen durchgeführt wird.

DDoS-Angriffe haben sich sehr schnell weiterentwickelt, wie Sie beim Lesen dieses Posts feststellen werden. Sie sind viel heimtückischer und technisch fortgeschrittener; von Zeit zu Zeit kommt es zu absolut ungewöhnlichen Angriffsmethoden; es werden neue Ziele anvisiert; und neue Weltrekorde der größten und schädlichsten DDoS werden aufgestellt. Aber auch die Welt, in der sich der DDoS befindet, hat sich sehr schnell entwickelt. Alles, selbst das Spülbecken, ist online: die Anzahl der verschiedenen „intelligenten“ Geräte, die mit dem Internet verbunden sind, übertrifft bei weitem die Anzahl der guten alten Desktop- und Laptop-Computer.

Diese zwei parallel laufenden Entwicklungen – von DDoS plus der digitalen Landschaft, in der sie verweilen – führten zu immer mehr Schlagzeilen: Botnetze, die aus IP-Kameras und WLAN-Heimrouter bestanden, die bezüglich der Größe DDoS-Rekorde brachen (Mirai), und massive DDoS-Attacken auf russische Banken.

Wenn zuvor Botnetze aus Zombie-PCs bestanden, werden sie sich bald aus Zombie-Kühlschränken, -Staubsaugern, -Trocknern und –Kaffeemaschinen zusammensetzen.

brevity-comic

Read on: Eine kurze Geschichte der DDoS-Angriffe

Kings of Lyon

Vor kurzem besuchte uns Ronald Noble, der Generalsekretär von Interpol, in Moskau. Das ist ein Teufelskerl. Ihm wurde der Orden der französischen Ehrenlegion verliehen, er ist Professor an der New York University School of Law und – Überraschung! – Ehrenprofessor der Urals State Legal Academy (wenn man der Russischen Wikipedia-Seite über ihn trauen kann🙂 ). Wie auch immer, jetzt war ich an der Reihe, ihm einen kombinierten Geschäfts- und Freundschaftsbesuch abzustatten…