Bei Ransomware-Angriffen geht es um das ganz große Geschäft. Schätzungen zufolge wird es bis Ende 2021 alle 11 Sekunden einen Ransomware-Angriff auf ein Unternehmen geben, der einen Schaden von bis zu 20 Milliarden US-Dollar verursacht. Aber Ransomware-Angriffe bereiten nicht nur Organisationen wie Unternehmen, Behörden und Gesundheitsdienstleistern Kopfschmerzen, sie betreffen auch Kunden und Mitarbeiter, deren Daten häufig zum Kollateralschaden dieser Angriffe gehören.
Als Ransomware bezeichnet man eine Malware, mit der die Daten und Dateien der Opfer verschlüsselt werden. Diese muss man von anderen Erpressungsversuchen, den DDoS-Angriffen (Distributed Denial of Service), unterscheiden, bei denen die betroffenen Unternehmen mit Datenverkehr überflutet werden und den weiteren Ansturm nur durch Zahlung einer Art Lösegeld abwenden können.
Während einige Organisationen den Forderungen schon nachgekommen sind, lautet die allgemeine Empfehlung, dies nicht zu tun, denn auch nach erfolgter Zahlung gibt es keine Garantie, dass der Zugriff auf die infizierten Systeme tatsächlich wiederhergestellt wird. Außerdem wird dies als Anreiz für diese Form des Cyberangriffs gewertet. Viele Unternehmen versuchen Ransomware-Angriffe geheim zu halten oder machen, wenn sie sie offenlegen, keine Angaben zu den Forderungen der Angreifer.
In diesem Artikel sollen einige der jüngsten Fälle von Ransomware im Zeitraum von Januar bis Dezember 2020 vorgestellt werden.
Ransomware-Angriffe im Januar 2020
1. Ransomware-Angriff auf Travelex
Das Jahr begann mit einem Hackerangriff auf das Devisenhandelsunternehmen Travelex, in dem das Unternehmen gezwungen wurde, alle Computersysteme abzuschalten und mit Stift und Papier weiterzuarbeiten. In der Folge musste das Unternehmen seine Webseiten in 30 Ländern abschalten.
Hinter dem Angriff steckte eine Ransomware-Bande namens Sodinokibi (auch unter dem Namen REvil bekannt), die Forderung an Travelex belief sich auf 6 Millionen US-Dollar. Die Bande behauptete, bereits vor sechs Monaten in das Computer-Netzwerk des Unternehmens eingedrungen zu sein und 5 GB an sensiblen Kundendaten wie Geburtsdaten und Kreditkartennummern heruntergeladen zu haben. Wenn Travelex das Lösegeld zahle, werde man die Daten löschen, wenn nicht, würde sich die Lösegeldforderung alle zwei Tage verdoppeln. Nach sieben Tagen meldete die Bande, dass sie die Daten an andere Cyberkriminelle verkaufen würden.
Nach eigenem Bekunden zahlte Travelex den Erpressern 2,3 Millionen US-Dollar in Bitcoin und konnte nach zwei Wochen den Betrieb seiner Online-Systeme wiederaufnehmen. Im August 2020 meldete das Unternehmen Insolvenz an. Als Grund wurde eine Kombination aus dem Ransomware-Angriff und den Auswirkungen der Covid-19-Pandemie genannt.
Weitere nennenswerte Angriffe aus diesem Monat:
- Nach einem Ransomware-Angriff auf die Netzwerksysteme des Bezirks in den Weihnachtsferien waren die Schüler der Pittsburgh Unified School District in Pennsylvania ohne Internetzugang.
- Patienten einer Arztpraxis in Miramar (Florida) erhielten eine Lösegeldforderung von einem Cyberkriminellen, der damit drohte, ihre persönlichen medizinischen Daten zu veröffentlichen.
Ransomware-Angriffe im Februar 2020
2. Ransomware-Angriff auf den INA-Konzern
Am Valentinstag legte ein Cyberangriff den Geschäftsbetrieb des INA-Konzerns lahm, dem größten Ölkonzern mit der umfassendsten Tankstellenkette in Kroatien. Im Rahmen dieses Angriffs wurden einige Back-End-Server des Unternehmens infiziert und anschließend verschlüsselt.
Das Unternehmen war zwar weiterhin in der Lage, seine Kunden mit Benzin zu versorgen, betroffen aber waren Bereiche des Rechnungswesens, die Abrechnung von Bonuspunkten, die Neuausstellung mobiler Gutscheine sowie einige Bezahloptionen für bestimmte Rechnungen.
Berichten zufolge war dem Angriff eine Infektion mit der Ransomware des Typs Clop vorausgegangen. Forscher im Sicherheitsbereich stufen die Clop-Bande als „Big Game Ransomware“ ein, womit kriminelle Gruppen bezeichnet werden, die die Netzwerke von Unternehmen infizieren, deren Daten verschlüsseln und extrem hohe Lösegeldforderungen stellen.
Weitere nennenswerte Angriffe aus diesem Monat:
- Der Gesundheitsdienstleister NRC Health, der mit 75 % der 200 größten Krankenhäuser in den USA zusammenarbeitet, wurde ebenfalls zur Zielscheibe eines Angriffs. Als Reaktion darauf musste das Unternehmen seine Systeme einschließlich der Kundenportale komplett abschalten, um die Datenschutzverletzung so gering wie möglich zu halten. Zu den vom Unternehmen gespeicherten Daten gehören Gehaltsabrechnungen von Mitarbeitern sowie Kostenerstattungsanträge durch Programme wie Medicare.
Ransomware-Angriffe im März 2020
3. Ransomware-Angriff auf Communications & Power Industries
Im März wurde bekannt, dass Communications & Power Industries (CPI), ein großer Hersteller von elektronischen Geräten mit Sitz in Kalifornien, von einem Ransomware-Angriff betroffen war.
Das Unternehmen stellt Komponenten für militärische Geräte und Ausrüstung her und beliefert auch das US-Verteidigungsministerium. Der Ransomware-Angriff wurde durch einen Domänenadministrator der Firma ausgelöst, der per Klick auf einen schädlichen Link die Dateiverschlüsselung ins Rollen brachte. Da zu derselben nicht segmentierten Domäne Tausende von Computern im Netzwerk gehörten, konnte sich die Ransomware rasch in sämtlichen Büros von CPI bis hin zu den lokalen Datensicherungen ausbreiten.
Berichten zufolge zahlte das Unternehmen 500.000 US-Dollar an die Erpresser. Welche Art von Ransomware zum Einsatz gekommen war, ist nicht bekannt.
Weitere nennenswerte Angriffe aus diesem Monat:
- In London wurde das Hammersmith Medical Centre Ziel eines Angriffs der Ransomware-Gruppe Maze. Das medizinische Zentrum führt klinische Studien für Medikamente und Impfstoffe durch. Der Angriff erfolgte nur wenige Tage nachdem die Maze-Gruppe versprochen hatte, während der Covid-19-Pandemie keine medizinischen Forschungseinrichtungen mehr anzugreifen. Nachdem man eine Lösegeldzahlung verweigert hatte, veröffentlichte die Erpresser-Gruppe die persönlichen Daten von Tausenden ehemaligen Patienten. Der Direktor des medizinischen Zentrums soll laut Medienberichten angegeben habe, dass er lieber pleite machen als Lösegeld zahlen würde.
Ransomware-Angriffe im April 2020
4. Ransomware-Angriff auf Energias de Portugal
Im April gab es Meldungen, nach denen der portugiesische Energieriese Energias de Portugal (EDP) einem Angriff zum Opfer gefallen sei. Mithilfe der Ransomware Ragnar Locker war es Cyberkriminellen gelungen, die Systeme des Unternehmens zu verschlüsseln. Die Lösegeldforderung belief sich auf fast 10 Millionen US-Dollar.
Die Angreifer behaupteten, im Besitz von mehr als 10 TB an vertraulichen Unternehmensdaten zu sein, und drohten damit, diese bei Nichtzahlung des Lösegelds zu veröffentlichen. Um ihrer Forderung Nachdruck verleihen, veröffentlichten die Hacker auf einer Webseite Screenshots mit vertraulichen Daten. Die Daten sollten angeblich vertrauliche Informationen zu Rechnungen, Verträgen, Transaktionen, Kunden und Partnern enthalten.
EDP bestätigte zwar, dass ein Angriff stattgefunden habe, es aber keine Beweise dafür gebe, dass vertrauliche Kundendaten betroffen seien. Mit dem Verweis darauf, dass gestohlene Daten von Kunden auch noch in Zukunft veröffentlicht werden könnten, bot das Unternehmen seinen Kunden allerdings an, dass sie die Identitätsschutz-Software Experian ein Jahr kostenlos nutzen könnten.
Weitere nennenswerte Angriffe aus diesem Monat:
- Cognizant, ein Fortune-500-Unternehmen und Anbieter von IT-Services für Unternehmen aus den verschiedensten Branchen, gab bekannt, dass es Ziel eines Ransomware-Angriffs gewesen sei. Von dem Angriff waren interne Systeme betroffen, insbesondere durch Löschung eines firmeninternen Verzeichnisses, so dass das Unternehmen seinen Kunden keine Services mehr anbieten konnte. In seinem Quartalsbericht Q2 2020, der Ende Juli veröffentlicht wurde, musste Cognizant eingestehen, dass der Umsatz über alle Geschäftsbereiche hinweg um 3,4 % auf 4 Milliarden US-Dollar gesunken war. Dieser Einbruch sei zum Teil auch auf den Ransomware-Angriff vom April zurückzuführen.
Ransomware-Angriffe im Mai 2020
5. Ransomware-Angriff auf Grubman Shire Meiselas & Sacks
Im Mai fiel Grubman Shire Meiselas & Sacks, eine Anwaltskanzlei in New York mit einer ganzen Reihe prominenter Mandanten wie Madonna, Elton John und Robert DeNiro, der Ransomware REvil zum Opfer.
Die Angreifer behaupteten, mithilfe der Ransomware REvil oder Sodinokobi an personenbezogene Daten gekommen zu sein, darunter Verträge mit Klienten, Telefonnummern, E-Mail-Adressen, persönliche Korrespondenz und Vertraulichkeitsvereinbarungen. Sie drohten damit, die Daten in neun Etappen zu veröffentlichen, wenn nicht ein Lösegeld in Höhe von insgesamt 21 Millionen US-Dollar gezahlt würde. Die Forderung wurde auf 42 Millionen US-Dollar verdoppelt, als die Kanzlei sich weigerte zu zahlen.
Zu den angeblich betroffenen Prominenten gehörten Bruce Springsteen, Lady Gaga, Nicki Minaj, Mariah Carey und Mary J. Blige. Die Anwaltskanzlei zeigte keinerlei Verhandlungsbereitschaft mit den Angreifern und schaltete das FBI ein.
Weitere nennenswerte Angriffe aus diesem Monat:
- Die Universität von Michigan wurde Opfer eines Angriffs der Ransomware NetWalker. NetWalker, auch bekannt als Mailto, ist ein Ransomware-Stamm, der zum ersten Mal im August 2019 auftrat. In ihrer Forderung setzten die Hintermänner der Universität eine Frist von einer Woche, um das Lösegeld zu zahlen. Im Austausch werde man dann wieder Zugriff auf die verschlüsselten Dateien erhalten. Bei Nichtzahlung werde man die personen- und bankbezogenen Daten der Studenten der Michigan State University an die Öffentlichkeit geben. Die Universität entschied sich, nicht zu zahlen, mit dem Verweis, dass man damit dem Rat der Strafverfolgungsbehörden folge.
Ransomware-Angriffe im Juni 2020
6. Ransomware-Angriff auf Honda
Im Juni gab es einen Angriff der Ransomware Snake (auch bekannt als Ekans) auf den Automobilgiganten Honda und dessen Niederlassungen in den USA, Europa und Japan. Nachdem der Angriff entdeckt wurde, stoppte Honda die Produktion an bestimmten Standorten, um sein lahmgelegtes Computer-Netzwerk wieder in Gang zu bringen. Die Hacker hatten den internen Server von Honda geknackt und verschlüsselt und forderten für die Herausgabe des Schlüssels ein Lösegeld. Wie Honda später erklärte, hätten die Angreifer keine Beweise für den Verlust von personenbezogenen Daten vorgelegt.
Weitere nennenswerte Angriffe aus diesem Monat:
- Das Columbia College in Chicago wurde von der Ransomware-Gang NetWalker ins Visier genommen, die damit drohte, die Daten der Studenten im Darknet zu verkaufen, wenn die Lösegeldforderung nicht binnen sechs Tagen beglichen werde. Das College räumte ein, dass einige Personendaten von dem Angriff betroffen waren. Ob das Lösegeld gezahlt oder mit den Angreifern verhandelt wurde, ist nicht bekannt.
Ransomware-Angriffe im Juli 2020
7. Ransomware-Angriff auf Orange
Im Juli fiel der französische Telekommunikationsanbieter und Europas viertgrößter Mobilfunkbetreiber Orange einem Angriff der Ransomware Nefilim zum Opfer. Von der Datenschutzverletzung betroffen war der Bereich der Unternehmensservices und am 15. Juli wurden auf der Webseite von Nefilim im Darknet Unternehmensdetails veröffentlicht. Weitere Beispiele von Daten, die laut Nefilim von Orange-Kunden abgegriffen wurden, befänden sich in einem 339 MB großen Archiv.
Nefilim ist ein relativ neuer Ransomware-Akteur, der 2020 entdeckt wurde. Orange erklärte, dass die Daten von etwa 20 Unternehmenskunden innerhalb der Business Services-Sparte betroffen seien.
Weitere nennenswerte Angriffe aus diesem Monat:
- Die Stadt Lafayette im US-amerikanischen Staat Colorado gab im August bekannt, dass man an die Hintermänner einer Ransomware ein Lösegeld von 45.000 US-Dollar gezahlt habe, nachdem Geräte und Daten verschlüsselt worden waren. Die Zahlung wurde im Austausch für einen Entschlüsselungsschlüssel geleistet, nachdem es nicht gelungen war, die Systeme aus den vorhandenen Datensicherungen wiederherzustellen. Man habe sich für die Zahlung des Lösegelds entschieden, um den Anwohnern anhaltende Serviceausfälle zu ersparen. Obwohl keine weiteren Angaben zum Typ der verwendeten Ransomware gemacht wurden, erklärten die Verantwortlichen, dass die Ransomware die Netzwerksysteme der städtischen Verwaltung außer Gefecht gesetzt habe. Davon betroffen war alles von Online-Zahlungssystemen bis hin zu E-Mail- und Telefondiensten. Es wird vermutet, dass die Angriffsursache in einem Phishing-Betrug oder auch einem Brute Force-Angriff zu suchen ist.
Ransomware-Angriffe im August 2020
8. Ransomware-Angriff auf die Universität von Utah
Im August wurde bekannt, dass die University of Utah ein Lösegeld in Höhe von 457.000 US-Dollar gezahlt hatte, um die Veröffentlichung vertraulicher Dateien zu verhindern, die bei einem Ransomware-Angriff gestohlen worden waren. Bei dem Angriff waren die Server der sozial- und verhaltenswissenschaftlichen Fakultät verschlüsselt worden. Dabei hatten die Cyberkriminellen unverschlüsselte Daten entwendet, bevor sie die Computer verschlüsselten.
Da die gestohlenen Daten Studenten- und Mitarbeiterdaten enthielten, entschied sich die Universität zur Zahlung, um deren Veröffentlichung abzuwenden. Darüber hinaus riet sie allen Studenten und Mitarbeitern der betroffenen Fakultät, ihre Kredithistorie auf betrügerische Aktivitäten zu prüfen und alle online genutzten Passwörter zu ändern.
Weitere nennenswerte Angriffe aus diesem Monat:
- Ein weiteres Opfer eines Ransomware-Angriffs war R1 RCM Inc. Das Unternehmen, das früher unter dem Namen Accretive Health Inc. firmierte, ist in den USA einer der größten Dienstleister für das Abrechnungswesen im medizinischen Bereich. Es arbeitet mit mehr als 750 US-Gesundheitsorganisationen zusammen und verarbeitet die personenbezogenen und Gesundheitsdaten von Zigmillionen Patienten. R1 RCM Inc. machte keine detaillierten Angaben zu den von dem Angriff betroffenen Systemen oder Daten. Allerdings wurde berichtet, dass sich die Angreifer der Ransomware Defray bedient hatte, die meist gezielt über Phishing-Mails verbreitet wird.
Ransomware-Angriffe im September 2020
9. Ransomware-Angriff auf K-Electric
Im September wurde K-Elektrik, der einzige Stromanbieter im pakistanischen Karachi, zum Ziel eines Angriffs durch die Ransomware NetWalker. Dabei kam es zu einer Störung der Abrechnungs- und Online-Dienste des Unternehmens.
Die Hintermänner der Ransomware forderten von K-Electric ein Lösegeld von 3,85 Millionen US-Dollar. Im Falle der Nichtzahlung innerhalb von sieben Tagen erhöhe sich die Forderung auf 7,7 Millionen US-Dollar. NetWalker veröffentlichte ein 8,5 GB großes Archiv mit Dateien, die angeblich während des Angriffs entwendet worden waren und neben Finanzdaten auch Kundendetails enthielten.
Zuvor hatte NetWalker die argentinische Einwanderungsbehörde, verschiedene US-amerikanische Behörden sowie die Universität von Kalifornien in San Francisco ins Visier genommen.
K-Electric räumte ein, dass zwar ein Cybervorfall stattgefunden habe, dass aber alle kritischen Kundenservices voll funktionsfähig seien.
Weitere nennenswerte Angriffe aus diesem Monat:
- Das vierte Bezirksgericht von Louisiana erlebte einen Ransomware-Angriff auf seine Webseite, nachdem sensible Dokumente online veröffentlicht wurden. Als Agent kam Conti zum Einsatz, ein relativ neuer Ransomware-Stamm. In den Dokumenten, die die Hacker auf ihrer eigenen Webseite im Darknet veröffentlichten, ging es um Zeugen, Juroren und Angeklagte aus laufenden Verfahren.
Ransomware-Angriffe im Oktober 2020
10. Ransomware-Angriff auf den Press Trust of India
Im Oktober hackten Cyberkriminelle die Server der Nachrichtenagentur Press Trust of India (PTI) und legten deren Dienste für Stunden lahm. Ein Sprecher des Unternehmens beschrieb den Vorfall als massiven Ransomware-Angriff, der zur Unterbrechung des Betriebs führte und die Bereitstellung von Nachrichten an Abonnenten in ganz Indien unmöglich machte.
Als Vehikel wurde LockBit ausgemacht, eine Schadsoftware, die darauf ausgelegt ist, den Nutzerzugang zu Computersystemen zu sperren, um damit eine Lösegeldzahlung zu erzwingen.
Weitere nennenswerte Angriffe aus diesem Monat:
- Einer der weltgrößten Softwareanbieter, die Software AG, war Ziel der Ransomware-Gang Clop, die mehr als 20 Millionen US-Dollar forderte. Nachdem die Verhandlungen gescheitert waren, veröffentlichte die Bande Screenshots im Darknet, auf denen gescannte Ausweisdokumente und IDs, E-Mails von Mitarbeitern, Finanzdokumente sowie Verzeichnisse aus dem internen Unternehmensnetzwerk zu sehen waren.
Ransomware-Angriffe im November 2020
11. Ransomware-Angriff auf den obersten Gerichtshof von Brasilien
Im November sah sich der Oberste Gerichtshof von Brasilien in Folge eines massiven Ransomware-Angriffs gezwungen, die eigene Webseite abzuschalten.
Die Angreifer hinter der Ransomware behaupteten, dass sie die gesamte Datenbank des Gerichts verschlüsselt haben und dass alle Versuche, sie wiederherzustellen, zum Scheitern verurteilt seien. In ihrem Erpresserschreiben fordern die Hacker das Gericht auf, sie über eine E-Mail-Adresse von Proton Mail zu kontaktieren. Die Hacker versuchten außerdem, verschiedene andere Webseiten mit Bezug zur brasilianischen Regierung anzugreifen.
Weitere nennenswerte Angriffe aus diesem Monat:
- Der Fußballclub Manchester United machte Schlagzeilen, als bekannt wurde, dass er Opfer eines Cyberangriffs geworden war. Der Angriff, der später als Ransomware eingestuft wurde, sei nach Angaben des Clubs zwar raffiniert gewesen, man verfüge aber über ausreichende Protokolle und Verfahren, um auf einen solchen Fall vorbereitet zu sein. Die installierte Cyberabwehr habe den Angriff erkannt und die betroffenen Systeme heruntergefahren, um den Schaden einzudämmen und Daten zu schützen.
Ransomware-Angriffe im Dezember 2020
12. Ransomware-Angriff auf GenRx Pharmacy
Im Dezember warnte der Pharmakonzern GenRx Pharmacy, der seinen Sitz in Arizona hat, Hunderttausende von Patienten vor einer möglichen Datenschutzverletzung in Folge eines Ransomware-Angriffs, der Anfang des Jahres stattgefunden hatte. Das Unternehmen gab an, dass es kriminellen Hackern gelungen sei, eine Reihe von Dateien mit Gesundheitsdaten zu entwenden, mit denen das Unternehmen Patientenbestellungen von rezeptpflichtigen Produkten verarbeitet und versendet.
Weitere nennenswerte Angriffe aus diesem Monat:
- Einer der größten Hersteller von Haushaltsgeräten, Whirlpool, wurde Opfer eines Ransomware-Angriffs durch die Nefilim-Bande, bei dem vor dem Verschlüsseln der Geräte auch Daten entwendet wurden. Im weiteren Verlauf veröffentlichten die Hacker die von ihnen gestohlenen Daten, die Informationen zu Sozialleistungen, Rückfragen zu medizinischen Daten und Hintergrundprüfungen enthielten.
Bei den jüngsten Ransomware-Angriffen ist zu beobachten, dass die Täter ihre Opfer sehr gezielt auswählen und auch ihre Forderungen darauf ausrichten. Das Anti-Ransomware-Tool von Kaspersky bietet sowohl Unternehmen als auch Privatanwendern Schutz. Wie bei jeder Cybersicherheitsbedrohung ist Wachsamkeit der beste Schutz.
Verwandte Artikel:
- Welche unterschiedlichen Arten von Ransomware gibt es?
- Die schlimmsten Ransomware-Angriffe
- So verhindern Sie Ransomware-Angriffe
- Datendiebstahl und -verlust