Die Anatomie eines Ransomware-Angriffs


VonGerrit De Vynck, Gerrit De Vynck Tech-Reporter über Google, Algorithmen und RansomwareEmail War Folgen Rachel Lerman, Rachel Lerman Reporter über aktuelle Neuigkeiten in der TechnologieEmail War Folgen Ellen Nakashimaund Ellen Nakashima Nationale SicherheitsreporterinEmail War Folgen Chris AlcantaraChris Alcantara Graphics-ReporterEmail War Folgen 9. Juli

Nur wenige Stunden vor dem Wochenende des 4. Juli traf ein riesiger, koordinierter Cyberangriff Hunderte von Unternehmen auf der ganzen Welt. Eine Gruppe von Hackern brach ein, indem sie eine Lücke im Softwarecode eines IT-Unternehmens mit einem breitgefächerten Kundenstamm ausnutzte, und forderte dann 70 Millionen US-Dollar Lösegeld.

Eine große Lebensmittelkette in Schweden hat Hunderte von Geschäften geschlossen. Schulen in Neuseeland warnten davor, dass das Personal möglicherweise nicht in der Lage sei, Computer zu benutzen.

Es war der bisher größte Fall einer Geißel, von der weltweit Unternehmen und Regierungsbehörden fast täglich betroffen sind und die nur noch schlimmer wird. In einer Analyse öffentlich gemeldeter Ransomware-Angriffe gegen Gesundheitsdienstleister, Kommunen und Schulen stellte die Washington Post fest, dass sich Ransomware-Angriffe in den USA von 2019 bis 2020 mehr als verdoppelt haben.

Um die Anatomie eines Ransomware-Angriffs zu rekonstruieren, führte The Post eine eigene Datenanalyse durch und sprach mit fast einem Dutzend Cybersicherheitsexperten, Strafverfolgungsbeamten, Unterhändlern und Opfern. Die Post verwendete verschiedene Beispiele, um die Komponenten zu veranschaulichen, wie ein Angriff abläuft. Die resultierende Untersuchung besteht aus fünf Teilen: den Hackern, dem Hack, der Verhandlung, der Zahlung und dem Nachspiel.

[Hacker verlangen 70 Millionen US-Dollar, um Unternehmen freizuschalten, die von weit verbreiteten Ransomware-Angriffen betroffen sind]

Die Kosten solcher Angriffe summieren sich. Einige Experten schätzen konservativ, dass Hacker im vergangenen Jahr Lösegeld in Höhe von 412 Millionen US-Dollar erhalten haben.



„Kriminelle sind wirtschaftlich motiviert und nicht dumm“, sagte Joshua Motta, CEO des Cyber-Versicherungsunternehmens Coalition. „Eine Zeit lang ging es um Kreditkarten-Skimming, Datenschutzverletzungen und den Weiterverkauf von Sozialversicherungsnummern. Ransomware ist ein deutlich lukrativeres Geschäftsmodell.“

Die Hacker Der Hack Die Verhandlung Die Bezahlung Die Folgen

Ein Ransomware-Angriff hat im Mai IT-Systeme lahmgelegt und den irischen öffentlichen Gesundheitsdienst stark gestört. Der Health Service Executive identifizierte die Angreifer als eine der größten heute operierenden Cyberkriminellenbanden, bekannt als Conti.

Die Organisation, von der Forscher glauben, dass sie in Russland ansässig ist, hat eine unbekannte Anzahl von Hackern, die in einer hierarchischen Struktur zusammenarbeiten und fast wie ein legitimes Unternehmen operieren. Es habe eine Malware entwickelt, die durch Computersysteme kriechen und Dateien sperren kann, und es beschäftigt Vertreter, um mit den Opfern zu kommunizieren, sagte Rick Holland, Chief Information Security Officer des Softwareunternehmens Digital Shadows für Cyberbedrohungen.

[Die Biden-Administration versucht, Verbündete und den Privatsektor gegen die Ransomware-Bedrohung zu sammeln]

Einige Angriffe, wie der auf Kaseya, erfolgen, wenn Hacker eine Schwachstelle in der Software eines Unternehmens finden und diese nutzen, um in ihr System einzudringen. Die meisten verwenden jedoch relativ einfache Methoden, um in Computer einzudringen, wie das Versenden von Phishing-E-Mails, die Mitarbeiter dazu verleiten, einen Anhang zu öffnen, oder das Klicken auf einen Link, der bösartige Software herunterlädt, die dann Dateien verschlüsselt und den Zugriff auf das gesamte Netzwerk sperrt.

Conti sendet dann eine Nachricht, die ein Lösegeld im Austausch für einen „Entschlüsselungsschlüssel“ oder ein Computerprogramm fordert, das die Dateien entsperrt. Unternehmen oder Unterhändler können mit Conti-Hackern Nachrichten senden, um einen Rabatt zu erhalten oder einen Deal abzuschließen, sowie die Logistik durcharbeiten, z. B. wohin und wann das Geld gesendet wird.

'Wenn Sie sie ignorieren, können Sie sie abhaken und dann beginnen sie möglicherweise, in die Medien zu gehen, sie gehen möglicherweise zu sozialen Medien, sie gehen möglicherweise zu Blog-Sites', sagte Holland.

Conti droht auch, gestohlene Firmeninformationen preiszugeben.

„Wenn Sie ein Kunde sind, der den Deal abgelehnt hat und Ihre Daten auf der Website des Kartells nicht gefunden hat oder keine wertvollen Dateien gefunden hat, bedeutet dies nicht, dass wir Sie vergessen haben, es bedeutet nur, dass die Daten verkauft und daher nicht veröffentlicht wurden im freien Zugang!“ Conti sagt auf ihrer Website, die nur im Dark Web verfügbar ist und für den Zugriff eine spezielle Software erfordert.

Versuche, Conti für eine Stellungnahme zu erreichen, schlugen fehl.

Laut der Cyberfirma Recorded Future hat sie seit ihrer Gründung im Januar 2020 Informationen durchgesickert, die von mehr als 418 Organisationen gestohlen wurden. Die tatsächliche Zahl der gehackten Unternehmen dürfte um Größenordnungen höher sein. Conti war zitiert im Mai vom FBI für das Hacken von 16 Gesundheits- und Ersthelferorganisationen in den Vereinigten Staaten.

Ransomware-Angriffe werden in den USA immer häufiger

Ransomware machte 30 % aller US-amerikanischen Cyberangriffe aus, die im Jahr 2020 von Verizon-Forschern für Datenschutzverletzungen gemeldet und bestätigt wurden, mehr als doppelt so viel wie weltweit.

Welt

16%

14%

12%

10%

7%

1%

2020

2015.

2016

2017.

2018

2019

30%

23%

Vereinigte Staaten

elf%

6%

4%

2020

2015.

2016

2017

2018

2019

Quelle: Datenschutzverletzung bei Verizon 2021

Untersuchungsbericht

Ransomware-Angriffe werden in den USA immer häufiger

Ransomware machte 30 % aller US-amerikanischen Cyberangriffe aus, die im Jahr 2020 von Verizon-Forschern für Datenschutzverletzungen gemeldet und bestätigt wurden, mehr als doppelt so viel wie weltweit.

16%

Welt

14%

12%

10%

7%

1%

2020

2015.

2016

2017

2018

2019

30%

23%

Vereinigte Staaten

elf%

6%

4%

2020

2015.

2016

2017.

2018

2019

Quelle: Verizon 2021 Data Breach Investigations Report

Ransomware-Angriffe werden in Deutschland immer häufiger

Die Vereinigten Staaten

Ransomware machte 30 % aller US-amerikanischen Cyberangriffe aus, die im Jahr 2020 von Verizon-Forschern für Datenschutzverletzungen gemeldet und bestätigt wurden, mehr als doppelt so viel wie weltweit.

30%

Welt

Vereinigte Staaten

23%

16%

14%

12%

elf%

10%

7%

6%

1%

4%

2020

2020

2015.

2016

2017

2018

2019

2015.

2016

2017.

2018

2019

Quelle: Verizon 2021 Data Breach Investigations Report

Irlands Health Service Executive weigerte sich, das Lösegeld zu zahlen, aber Conti gab nach und übergab die Schlüssel zum Entsperren der Systeme, um „Kritik zu verringern“. nach der Irish Times . Dennoch waren die Gesundheitsdienste bis Ende Juni „stark betroffen“, teilte der Dienst in einer Pressemitteilung mit. Ein Sprecher des Dienstes bestätigte, kein Lösegeld gezahlt zu haben, und verwies auf einen Kommentar seines Vorstandsvorsitzenden im vergangenen Monat.

„Wir haben einen Entschlüsselungsschlüssel bekommen. … Es ist keine einfache Standardsoftware“, sagte CEO Paul Reid auf einer Pressekonferenz Mitte Juni. „Es ist ein sehr klobiger, unsicherer Satz von Sperrcodes, den wir sicher machen mussten.“

[DarkSide-Gruppe, die Colonial Pipeline angegriffen hat, fällt online aus dem Blickfeld]

Und Conti ist nur eine solche Gruppe. Laut Forschern kommen viele Angriffe von organisierten Gruppen, die relativ ungestraft aus Russland, Weißrussland und anderen osteuropäischen Ländern operieren. Die Angreifer reichen von unternehmungslustigen Einzelpersonen bis hin zu Gruppen von Hunderten, die direkt für einen Nationalstaat wie Nordkorea arbeiten.

Die bekanntesten Angriffe werden oft von Hacking-Gruppen durchgeführt, von denen Forscher sagen, dass sie ähnlich wie normale Unternehmen agieren, mit Mitarbeitern, Umsatzzielen und internen Hierarchien.

Viele dieser Gruppen, wie DarkSide und REvil, bieten „Ransomware as a Service“ an und verkaufen ihre Malware an jeden, der über das Know-how zur Ausführung eines Hacks und ein Ziel verfügt.

Die Hacker Der Hack Die Verhandlung Die Bezahlung Die Folgen

Am 7. Mai kurz vor 5 Uhr morgens sah ein Angestellter der Colonial Pipeline eine Lösegeldforderung auf einem Computerbildschirm. Viele der IT- oder geschäftsseitigen Computer im Unternehmensnetzwerk wurden von Hackern gesperrt – ihre Daten verschlüsselt. Und sie wollten Geld, um sie wieder zu öffnen.

Die Erfahrung von Colonial Pipeline war insofern einzigartig, als sie das Unternehmen vorsorglich dazu veranlasste, seine gesamte Pipeline zu schließen. Aber nicht nur große Unternehmen sind betroffen. Für Zehntausende kleinerer amerikanischer Unternehmen, die in den letzten Jahren Ziel von Ransomware-Kriminellen waren, ist das Gefühl, eine Lösegeldforderung zu sehen, nur allzu vertraut.

Weltweit betroffene Branchen

durch Ransomware

Die Häufigkeit von Ransomware-Angriffen

gegen Gesundheit und Bildung

Institutionen – historisch zwei der am meisten

Zielsektoren – zurückgegangen von

2019 bis 2020...

Ausbildung

Gesundheitsvorsorge

-8% ab 2019

-24%

100 Angriffe

fünfzig

0

'fünfzehn

'16

'17

'18

'19

'zwanzig

... aber in anderen großen Industrien hat sich die Rate beschleunigt.

Fachmann

Dienstleistungen

Herstellung

+70% ab 2019

+ 46%

100 Angriffe

fünfzig

0

'fünfzehn

'16

'17

'18

'19

'zwanzig

Öffentlich

Verwaltung

Information

+ 4%

+ 83%

100 Angriffe

fünfzig

0

'fünfzehn

'16

'17

'18

'19

'zwanzig

Einzelhandel &

Großhandel

Dienstprogramme &

Transport

+ 159%

+ 313%

100 Angriffe

fünfzig

0

'fünfzehn

'16

'17

'18

'19

'zwanzig

Finanzen

Sonstige Dienstleistungen

+ 63 %

+ 157%

100 Angriffe

fünfzig

0

'fünfzehn

'16

'17

'18

'19

'zwanzig

Bergbau &

Landwirtschaft

Entertainment

+ 50%

+ 367%

100 Angriffe

fünfzig

0

'fünfzehn

'16

'17

'18

'19

'zwanzig

Hinweis: Die Diagramme sind nach Anzahl der Angriffe im Jahr 2020 sortiert, basierend auf einer Stichprobe von Vorfallsberichten, die von Unternehmen, Regierungsbehörden, Cybersicherheitsunternehmen und der Öffentlichkeit an das Verizon Data Breach Investigations Research Team übermittelt wurden. Die Zahlen sind sehr wahrscheinlich zu niedrig, da die tatsächliche Anzahl der Ransomware-Angriffe unbekannt ist.

Quelle: Datenschutzverletzung bei Verizon 2021

Untersuchungsbericht

Weltweit betroffene Branchen

durch Ransomware

Die Häufigkeit von Ransomware-Angriffen gegen die Gesundheit

und Bildungseinrichtungen – historisch gesehen zwei der wichtigsten

Zielsektoren – rückläufig von 2019 bis 2020 ...

Gesundheitsvorsorge

Ausbildung

-8% ab 2019

-24%

100 Angriffe

fünfzig

0

'fünfzehn

'16

'17

'18

'19

'zwanzig

... aber die Rate hat sich in anderen großen Industrien beschleunigt.

Fachmann

Dienstleistungen

Herstellung

+70% ab 2019

+ 46%

100 Angriffe

fünfzig

0

'fünfzehn

'16

'17

'18

'19

'zwanzig

Öffentlich

Verwaltung

Information

+ 4%

+ 83%

100 Angriffe

fünfzig

0

'fünfzehn

'16

'17

'18

'19

'zwanzig

Einzelhandel &

Großhandel

Dienstprogramme &

Transport

+ 159%

+ 313%

100 Angriffe

fünfzig

0

'fünfzehn

'16

'17

'18

'19

'zwanzig

Finanzen

Sonstige Dienstleistungen

+ 63 %

+ 157%

100 Angriffe

fünfzig

0

'fünfzehn

'16

'17

'18

'19

'zwanzig

Bergbau &

Landwirtschaft

Entertainment

+ 50%

+ 367%

100 Angriffe

fünfzig

0

'fünfzehn

'16

'17

'18

'19

'zwanzig

Hinweis: Die Diagramme sind nach Anzahl der Angriffe im Jahr 2020 sortiert, basierend auf einer Stichprobe von Vorfallsberichten, die von Unternehmen, Regierungsbehörden, Cybersicherheitsunternehmen und der Öffentlichkeit an das Verizon Data Breach Investigations Research Team übermittelt wurden. Die Zahlen sind sehr wahrscheinlich zu niedrig, da die tatsächliche Anzahl der Ransomware-Angriffe unbekannt ist.

Quelle: Verizon 2021 Data Breach Investigations Report

Weltweite Branchen von Ransomware betroffen

Die Häufigkeit von Ransomware-Angriffen auf das Gesundheitswesen und das Bildungswesen

Institutionen – historisch gesehen zwei der am stärksten anvisierten Sektoren – gingen zurück

von 2019 bis 2020 ...

Gesundheitsvorsorge

Ausbildung

-24%

-8% ab 2019

100 Angriffe

fünfzig

0

'fünfzehn

'16

'17

'18

'19

'zwanzig

... aber in anderen großen Industrien hat sich die Rate beschleunigt.

Fachmann

Dienstleistungen

Öffentlich

Verwaltung

Herstellung

Information

+70% ab 2019

+ 46%

+ 4%

+ 83%

100 Angriffe

fünfzig

0

'fünfzehn

'16

'17

'18

'19

'zwanzig

Einzelhandel &

Großhandel

Dienstprogramme &

Transport

Finanzen

Sonstige Dienstleistungen

+ 159%

+ 313%

+ 63 %

+ 157%

100 Angriffe

fünfzig

0

'fünfzehn

'16

'17

'18

'19

'zwanzig

Bergbau &

Landwirtschaft

Entertainment

+ 50%

+ 367%

100 Angriffe

fünfzig

0

'fünfzehn

'16

'17

'18

'19

'zwanzig

Hinweis: Die Diagramme sind nach Anzahl der Angriffe im Jahr 2020 sortiert, basierend auf einer Stichprobe von Vorfallsberichten, die von Unternehmen, Regierungsbehörden, Cybersicherheitsunternehmen und der Öffentlichkeit an das Verizon Data Breach Investigations Research Team übermittelt wurden. Die Zahlen sind sehr wahrscheinlich zu niedrig, da die tatsächliche Anzahl der Ransomware-Angriffe unbekannt ist.

Quelle: Verizon 2021 Data Breach Investigations Report

Weltweite Branchen von Ransomware betroffen

Die Häufigkeit von Ransomware-Angriffen auf das Gesundheitswesen und das Bildungswesen

Institutionen – historisch gesehen zwei der am stärksten anvisierten Sektoren – von 2019 bis 2020 zurückgegangen ...

Gesundheitsvorsorge

Ausbildung

-8% ab 2019

-24%

100 Angriffe

fünfzig

0

'fünfzehn

'16

'17

'18

'19

'zwanzig

... aber in anderen großen Industrien hat sich die Rate beschleunigt.

Fachmann

Dienstleistungen

Öffentlich

Verwaltung

Herstellung

Information

+70% ab 2019

+ 46%

+ 4%

+ 83%

100 Angriffe

fünfzig

0

'fünfzehn

'16

'17

'18

'19

'zwanzig

Einzelhandel &

Großhandel

Dienstprogramme &

Transport

Finanzen

Sonstige Dienstleistungen

+ 159%

+ 313%

+ 63 %

+ 157%

100 Angriffe

fünfzig

0

'fünfzehn

'16

'17

'18

'19

'zwanzig

Bergbau &

Landwirtschaft

Entertainment

+ 50%

+ 367%

100 Angriffe

fünfzig

0

'fünfzehn

'16

'17

'18

'19

'zwanzig

Hinweis: Die Diagramme sind nach Anzahl der Angriffe im Jahr 2020 sortiert, basierend auf einer Stichprobe von Vorfallsberichten, die von Unternehmen, Regierungsbehörden, Cybersicherheitsunternehmen und der Öffentlichkeit an das Verizon Data Breach Investigations Research Team übermittelt wurden. Die Zahlen sind sehr wahrscheinlich zu niedrig, da die tatsächliche Anzahl der Ransomware-Angriffe unbekannt ist.

Quelle: Verizon 2021 Data Breach Investigations Report

Weltweite Branchen von Ransomware betroffen

Die Häufigkeit von Ransomware-Angriffen auf das Gesundheitswesen und das Bildungswesen

Institutionen – historisch gesehen zwei der am stärksten anvisierten Sektoren – gingen zurück

von 2019 bis 2020 ...

Gesundheitsvorsorge

Ausbildung

-8% ab 2019

-24%

100 Angriffe

fünfzig

0

'fünfzehn

'16

'17

'18

'19

'zwanzig

... aber die Rate hat sich in anderen großen Industrien beschleunigt.

Einzelhandel &

Großhandel

Herstellung

Professionelle Dienste

Öffentliche Verwaltung

Information

+70% ab 2019

+ 46%

+ 4%

+ 83%

+ 159%

100 Angriffe

fünfzig

0

'fünfzehn

'16

'17

'18

'19

'zwanzig

Dienstprogramme &

Transport

Bergbau &

Landwirtschaft

Finanzen

Sonstige Dienstleistungen

Entertainment

+ 313%

+ 63 %

+ 157%

+ 50%

+ 367%

100 Angriffe

fünfzig

0

'fünfzehn

'16

'17

'18

'19

'zwanzig

Hinweis: Die Diagramme sind nach Anzahl der Angriffe im Jahr 2020 sortiert, basierend auf einer Stichprobe von Vorfallsberichten, die von Unternehmen, Regierungsbehörden, Cybersicherheitsunternehmen und der Öffentlichkeit an das Verizon Data Breach Investigations Research Team übermittelt wurden. Die Zahlen sind sehr wahrscheinlich zu niedrig, da die tatsächliche Anzahl der Ransomware-Angriffe unbekannt ist.

Quelle: Verizon 2021 Data Breach Investigations Report

„Sie haben absolute Angst“, sagte Keith Swanson, Director of Counterextortion and Threat Intelligence bei Kivu Consulting, das Opferunternehmen bei Verhandlungen mit Hackern unterstützt. „Sie wissen nicht, was sie tun sollen. Sie haben noch nie in ihrem Leben mit so etwas zu tun gehabt.“

Etwa ein Drittel der amerikanischen Unternehmen verfügt über eine Cyberversicherung, deren Abschluss jedoch mit zunehmender Zunahme der Angriffe immer schwieriger und teurer wird. Im Allgemeinen fungiert der Versicherer als Drehscheibe, um dem Opfer bei allem zu helfen, von der Untersuchung des Angriffs über die Behebung kompromittierter Systeme, das Aushandeln von Lösegeldern bis hin zu Rechts- und PR-Problemen.

Ein erster Anruf geht an ein Cybersicherheitsunternehmen, das untersuchen, Schäden eindämmen und Systeme reparieren kann. Colonial bestätigte zum Beispiel, dass es mit Mandiant zusammenarbeitet, einem führenden Cybersicherheitsunternehmen, das jetzt zu FireEye gehört. Es reagiert auf mehr als 1.000 Sicherheitsverletzungen pro Jahr – etwas mehr als ein Drittel davon betreffen irgendeine Form von Ransomware, Finanzerpressung oder Zahlungskartendiebstahl.

„Als erstes versuchen wir zu bewerten, was vor sich geht“, sagte Charles Carmakal, Chief Technology Officer von Mandiant. Dazu gehört, wie Hacker eingedrungen sind, ob sie noch Zugriff haben, was sie getan haben und welche Daten offengelegt wurden.

Um die Fragen zu beantworten, benötigt Mandiant Zugriff auf Netzwerkdaten. Es stellt aus der Ferne ein Software-Forensik-Tool bereit, mit dem es jeden einzelnen Computer im Netzwerk des Opfers erreicht.

Firmen wie Mandiant helfen auch, Netzwerke wieder online zu bringen. Dazu können mit Schadsoftware infizierte Systeme neu aufgebaut, vom Hacker verschlüsselte Dateien entschlüsselt und die Abwehrmaßnahmen gegen weitere Angriffe verbessert werden.

[Ransomware ist eine nationale Sicherheitsbedrohung und ein großes Geschäft – und sie richtet Chaos an]

Der Prozess kann für eine Organisation, die nicht allzu hart getroffen wurde und über gute Backups ihrer Dateien verfügt, Tage bis Wochen dauern, sagte Carmakal. Bei größeren Organisationen oder solchen ohne gute Backups kann der Prozess Monate dauern.

Oftmals hören die Ransomware-Akteure nicht damit auf, Daten einfach zu verschlüsseln. Sie stehlen es auch. Und sie suchen nach den sensibelsten Daten, die sie finden können – Steuerunterlagen, Geschäftsverhandlungen und geistiges Eigentum.

Wenn ein Opfer es vermeiden kann, ein Lösegeld zu zahlen und sein Netzwerk aus Backups wiederherstellen kann, ist das großartig, sagten Experten. Aber, sagte Swanson von Kivu, „oft sind die Netzwerke nicht betriebsbereit – vollständig geglättet. Die Bösen werden kommen und die Backups löschen oder verschlüsseln.“

In diesem Fall muss das Opfer entweder das Lösegeld zahlen oder sein gesamtes Netzwerk von Grund auf neu aufbauen. Selbst wenn das Opfer bezahlt und einen Entschlüsseler erhält – eine Software, die verschlüsselte Daten in ihren ursprünglichen Zustand zurückversetzt – kann der Wiederherstellungsprozess einige Tage bis Wochen dauern, sagte Austin Berglas, Global Head of Professional Services des Cybersicherheitsunternehmens BlueVoyant.

Die ganze Erfahrung ist zermürbend. „Selbst wenn ein Unternehmen einen soliden Plan zur Reaktion auf Vorfälle hat und es praktiziert hat, herrscht immer noch massive Panik“, sagte Berglas. „Wenn ihr Geschäft geschlossen wird, sind alle Mitarbeiter an Deck. Niemand ruht. Es ist voller Kraft.“

Die Hacker Der Hack Die Verhandlung Die Bezahlung Die Folgen

Kurtis Minder, Gründer des Cybersicherheitsdienstes GroupSense, half kürzlich einer Krebs-Wohltätigkeitsorganisation, die aus ihrem Computernetzwerk ausgesperrt war, eine Ransomware-Zahlung auszuhandeln.

„Wir waren ziemlich direkt mit dem Bösewicht. Wie: ‚Schau, schäme dich, Alter. Sie haben es nicht. Sie verwenden es, um Brustkrebs zu verhindern’ “, sagte Minder.

Diese Taktik habe funktioniert, um das Lösegeld zu senken, sagte er. 'Wir haben es nicht für Null bekommen, aber wir haben es für fast Null bekommen.'

Wenn ein Unternehmen gehackt wird, hinterlassen die Angreifer in der Regel eine Lösegeldforderung. Die Notiz kann so einfach wie eine E-Mail an die Führungskräfte des Unternehmens oder eine unverschlüsselte Textdatei auf einem der Server sein. Manchmal sind Hunderte von Computern in einem Raum mit roten Bannern übersät, auf denen steht: „Sie wurden infiziert“, sagte James Turgal, ein ehemaliger FBI-Agent, der jetzt Vizepräsident der Cybersicherheitsfirma Optiv ist.

Der Hinweis enthält normalerweise Anweisungen zum Zugriff auf eine Website im Dark Web. Hier sagen Hacker, wie viel sie wollen und wie viel Zeit das Opfer bezahlen muss. Manchmal tickt eine Countdown-Uhr, die einem Unternehmen eine bestimmte Zeit gibt, normalerweise etwa eine Woche, bevor der Preis steigt.

Wer verhandelt, beauftragt oft einen Profi. Minder gründete GroupSense im Jahr 2014, um kriminelle Hacker zu untersuchen und anderen Unternehmen zu helfen, sich vor ihnen zu schützen. Seine Analysten, die zusammen mehr als ein Dutzend Sprachen sprechen, durchforsten das Dark Web, um mehr über Hacker-Gruppen zu erfahren, und benachrichtigen Unternehmen dann, dass sie kompromittiert werden könnten.

[Ransomware-Schäden bringen ein ganzes Segment der Versicherungsbranche in Aufruhr]

„Wir führen praktisch jeden Tag [Verhandlungen], manchmal mehrmals am Tag“, sagte Minder. „Wir haben viele Informationen über diese Bösewichte. Wir wissen, wo sie tätig sind. Wir wissen viel über sie.“

Er hat Hilfeersuchen von Opfern erhalten, darunter Blumenläden, Druckereien und Mikrobrauereien.

Bei großen Unternehmen verlangen Hacker normalerweise einen Geldbetrag, der auf Informationen basiert, die aus gestohlenen Jahresabschlüssen ausgegraben wurden. Für kleinere Unternehmen kann die Eröffnungsnachfrage willkürlicher sein, sagte Minder.

In diesen Fällen können Hacker Unternehmen um relativ geringe Beträge wie 10.000 US-Dollar bitten, um die Geschwindigkeit zu fördern, sagte Berglas. Anspruchsvollere Hacker, die größere Unternehmen treffen, verlangen oft erste Zahlungen in Millionenhöhe.

Die Verhandlungen finden normalerweise auf Englisch statt, aber oft ist klar, dass die Nachrichten über Google Translate laufen, weil die Sprache des Hackers nicht die eines Muttersprachlers zu sein scheint. Der Ton der Verhandlungen sei im Allgemeinen zivil und sachlich, sagte Minder. 'Sie begehen dies, als ob es ein normales Geschäft wäre und sie dem Opfer einen Gefallen für die Sicherheit tun würden.'

Die Hacker erwarten, dass der Unterhändler versucht, den Preis zu senken. 'Es ist fast wie bei Gebrauchtwagenhändlern', sagte Minder. „Sie wissen, dass Sie nicht den Preis auf dem Aufkleber bezahlen. Und deshalb ist der Preis auf dem Aufkleber so, wie er ist.“ Bei kleinen Unternehmen dauert der gesamte Prozess zwei bis vier Tage. Bei größeren kann es bis zu drei Wochen dauern.

Die Daten darüber, was Unternehmen tatsächlich an Hacker zahlen, sind lückenhaft, da viele Opfer die Angriffe gar nicht preisgeben. Die durchschnittliche Zahlung im vierten Quartal 2020 betrug 154.000 USD, runter von einem gipfel von über 230.000 US-Dollar zu Beginn des Jahres, so das Cybersicherheitsberatungsunternehmen Coveware.

Im Allgemeinen sei es Minders Unternehmen gelungen, den endgültigen Betrag, den die Unternehmen zahlen, auf 10 bis 40 Prozent der ursprünglichen Nachfrage zu senken, sagte er.

Die Hacker Der Hack Die Verhandlung Die Bezahlung Die Folgen

JBS, der weltgrößte Fleischverarbeiter, wurde Ende Mai gehackt, ein Systembruch, der dazu führte, dass Rindfleischfabriken in den Vereinigten Staaten geschlossen und der Betrieb tagelang unterbrochen wurde. Am 1. Juni zahlte es ein Lösegeld in Höhe von 11 Millionen US-Dollar, um zu verhindern, dass Kundendaten kompromittiert werden.

„Dies war eine sehr schwierige Entscheidung für unser Unternehmen und für mich persönlich“, sagte Andre Nogueira, CEO von JBS USA, damals in einer Erklärung.

Tom Robinson, ein Blockchain-Forscher und Mitbegründer des Analyseunternehmens Elliptic, sagte, er habe das digitale Hauptbuch, eine öffentlich zugängliche Online-Liste aller mit Bitcoin getätigten Transaktionen, genau unter die Lupe genommen.

Er war in der Lage, die Bitcoin-Lösegeldzahlung von JBS an eine „Geldbörse“ zu verfolgen, von der er glaubte, dass sie mit einer Cyberkriminellenbande in Verbindung steht, von der angenommen wird, dass sie in Russland ansässig ist.

Bitcoin ist eine Kryptowährung, eine digitale Geldform, die durch enorme Rechenleistung geschaffen wird und virtuell über eine Reihe von privaten „Wallets“ und öffentlichen „Börsen“ gehandelt werden kann. Börsen sind organisierte Märkte, die von Unternehmen verwaltet werden und zu denen die Leute ihre Kryptowährungen bringen, um sie in Dollar, Pfund oder andere Geldformen umzutauschen – sie funktionieren ähnlich wie Wechselstuben bei Banken.

[Bitcoin-FAQ: Eine detaillierte Anleitung zur Funktionsweise von Kryptowährungen]

In den meisten Kryptowährungen wird jede Transaktion im Ledger, der sogenannten Blockchain, aufgezeichnet. So konnte Robinson sehen, dass die 301-Bitcoin-Zahlung von JBS von einer US-Börse bezogen und aus seinen Händen in eine private Brieftasche transferiert wurde, die vermutlich den Cyberkriminellen gehört.

Innerhalb von Stunden waren die Gelder in Hunderten von Brieftaschen verstreut.

Wie die 301-Bitcoin, die JBS bezahlt hat, zerstreut wurde


„Kryptowährung dringt in alle Formen krimineller Aktivitäten ein, und Kriminelle folgen dem Geld“, sagte Gurvais Grigg, ein ehemaliger stellvertretender Direktor des FBI und jetzt globaler Chief Technology Officer des öffentlichen Sektors des Blockchain-Analyseunternehmens Chainalysis.

Die Transaktionen seien auch irreversibel, sagte Rich Sanders, Mitbegründer und leitender Ermittler bei CipherBlade, das die Blockchain analysiert. 'Sie können sich nicht bei Bitcoin beschweren und eine Rückbuchung verlangen.'

Einige der JBS-Gelder wurden über digitale „Mixer“ gesendet, die als digitale Form der Geldwäsche fungieren. Mixer verwenden Software, um eine Bitcoin gegen eine andere zu vermischen und auszutauschen, alles mit dem Ziel, die Kette zu durchbrechen, damit die Geschichte einer einzelnen Münze schwieriger nachzuvollziehen ist.

Hacker neigen dazu, erwischt zu werden, wenn sie ihre digitale Währung gegen traditionelles Bargeld eintauschen wollen, sagten Experten.

Die Ermittler versuchen, Gelder in der Blockchain zu identifizieren und zu kennzeichnen, um den Überblick zu behalten. Wenn das Geld jemals von einer privaten Geldbörse an eine öffentliche Börse transferiert wird, können die Forscher oder die Strafverfolgungsbehörden die Börsenbetreiber direkt kontaktieren und sie bitten, das betreffende Konto während der Untersuchung zu sperren.

Viele Börsen mit Sitz in den USA werden diesen Anfragen nachkommen, sagte Megan Stifel, Senior Policy Analyst bei der Global Cyber ​​Alliance. Sie erfüllen gängige Finanzvorschriften, wie z. B. „Kenne deinen Kunden“, was bedeutet, dass sie eine Identifizierung für Kontoinhaber haben.

Aber es gibt Börsen, die Anfragen absichtlich ignorieren oder versuchen, ihnen zu widerstehen, oder in Gerichtsbarkeiten angesiedelt sind, die laxe Vorschriften haben oder wegschauen.

[Feds erhalten mehr als 2 Millionen US-Dollar an Ransomware-Zahlungen von Hackern der Colonial Pipeline]

Die Bundesbehörden haben es geschafft, die Lösegeldzahlung von Colonial in Höhe von 4,3 Millionen US-Dollar im Wert von mehr als 2 Millionen US-Dollar zurückzuerhalten. In diesem Fall, so sagen Forscher, scheinen Beamte auf eine private Wallet zugegriffen zu haben, die die Kryptowährung enthielt.

Private Wallets sind schwer zugänglich, da sie einen Verschlüsselungsschlüssel benötigen, eine lange Reihe von Zahlen und Buchstaben, die nur der Wallet-Inhaber besitzt. Es ist unklar, wie Beamte an den Schlüssel der Brieftasche gekommen sind.

Die Hacker Der Hack Die Verhandlung Die Bezahlung Die Folgen

Es dauert den größten Teil eines Jahres – durchschnittlich 287 Tage –, bis sich ein Unternehmen vollständig von einem Ransomware-Angriff erholt hat, laut einem umfassenden April-Bericht einer Gruppe von mehr als 60 Experten aus Industrie, Regierung, gemeinnützigen und akademischen Einrichtungen bekannt als Ransomware Task Force.

Für viele Unternehmen ist die eigentliche Lösegeldzahlung nicht einmal der teuerste Teil des Angriffs. Unternehmen müssen Backups wiederherstellen, Systeme neu aufbauen, mit forensischen Ermittlern zusammenarbeiten, um sicherzustellen, dass die Hacker wirklich ausgesperrt sind, und in vielen Fällen stärkere Cybersicherheitskontrollen implementieren, um zukünftige Angriffe zu verhindern.


Und die Auswirkungen eines Angriffs können weit über die eigenen Türen hinausreichen und den Alltag der Menschen und wichtige Dienste beeinträchtigen. An der Ostküste wurde der Fährverkehr unterbrochen, als ein Verstoß ein Ticketsystem zum Erliegen brachte. Die Fleischverarbeitungsbetriebe von JBS haben einige Betriebe vorübergehend geschlossen, als ein Angriff die Systeme des Unternehmens traf.

Regierungen auf der ganzen Welt versuchen, Wege zu finden, um hart durchzugreifen, wobei sich die Gruppe der Sieben Industrieländer verpflichtet, zusammenzuarbeiten, um die Angriffe vereiteln , und das Weiße Haus sagt, dass es „keine Optionen vom Tisch nimmt“, wenn es um mögliche Reaktionen auf die langsame Reaktion der russischen Regierung geht, die Flut von Angriffen aus dem Inneren des Landes einzudämmen.

Verschiedene US-Behörden haben Anfang des Jahres damit begonnen, Ransomware-Initiativen zu starten. Die Cybersicherheitsbehörde des Department of Homeland Security startete im Januar eine Kampagne, um öffentliche und private Organisationen dazu zu bringen, Maßnahmen zu ergreifen, um ihr Risiko, Opfer von Ransomware zu werden, zu verringern. Im vergangenen Herbst 2019 startete diese Agentur eine ähnliche Initiative, um staatliche und lokale Beamte zu ermutigen, die Wahlinfrastruktur gegen Ransomware-Angriffe zu schützen. Im April hat das Justizministerium eine Task Force eingerichtet, um das kriminelle Ökosystem zu stören, das Ransomware-Angriffe antreibt.

Aber der Angriff auf die Colonial Pipeline führte zu einer konzertierteren Anstrengung, als das Weiße Haus mit Präsident Biden eine Initiative startete, um die Gefahren von Ransomware zu bekämpfen. Die Initiative ergänzt eine von ihm im Mai unterzeichnete Durchführungsverordnung zur Stärkung der digitalen Verteidigung der Bundesregierung, von der die Beamten hoffen, dass sie den Privatsektor anspornen wird, seine eigenen zu stärken.

Während eines Gipfeltreffens am 16. Juni in Genf diskutierten Biden und der russische Präsident Wladimir Putin über Cyberangriffe und vereinbarten, dass die beiden Länder strategische Gespräche über Cybersicherheit aufnehmen würden.

[Biden, Putin halten „positiven“ Gipfel ab, aber Meinungsverschiedenheiten bleiben über Menschenrechte, Cyberangriffe, Ukraine]

In der Zwischenzeit verdoppeln Cyberkriminelle Ransomware-Angriffe, da sie sich selbst und anderen potenziellen Hackern bewiesen haben, dass sie äußerst profitabel sein können.

„Es gibt viele Leute da draußen, schlechte Bedrohungsakteure, die jetzt ermutigt und sicherlich motiviert sind durch die hohen Zahlen, die über die Ransomware-Zahlungen gemeldet werden“, sagte Turgal, der Cybersicherheitsexperte von Optiv. 'Es wird nicht weggehen.'

Dalton BennettundZach Levitzu diesem Bericht beigetragen. Bewegte Grafiken vonWilliam Neff.