DarkerLoxNet
Laut Studien ist die Mehrheit der Unternehmen von Ransomware Vorfällen mit Datendiebstahl betroffen, doch aus Angst einer Eskalation des Schadens informieren nur die wenigsten ihre Kunden.
Leon arbeitet bei einem fiktiven Schweizer Handelsunternehmen, das auch einen Onlineshop betreibt. Wie schon oft zuvor bekommt er von einem Kunden ein Worddokument mit einer Bestellung zugeschickt. Als in Outlook das Preview der Bestellung geladen wird, öffnet sich plötzlich ein Fenster mit «Problembehandlung bei der Programmkompatibilität». Kurz darauf öffnet sich das Worddokument und die Bestellung wird angezeigt. Leon denkt sich nicht viel dabei, schliesst das Problembehebungsfenster nachdem sichtlich nichts passiert und fährt mit der Arbeit fort.
Als Leon zwei Wochen später wie gewohnt zur Arbeit kommt und seinen PC startet, erscheint plötzlich ein rot blinkender Screen mit einem weissen Totenkopf. Danach startet sich sein Benutzerprofil, ohne dass er sein Passwort eingeben muss und es öffnet sich ein Notepad Fenster mit der Mitteilung, dass alle Daten gestohlen und verschlüsselt sind. Weiter steht etwas von einer Lösegeldforderung, die Erpresser verlangen innerhalb von 24 Stunden 50'000 USD in der digitalen Währung XMR (Monero). Wenn bis dann nicht bezahlt wird, verdoppele sich dieser Betrag bevor nach einer Woche alle Daten vernichtet und veröffentlicht werden. Schockiert ruft Leon bei der Informatikabteilung an, welche ihn darüber informiert, dass die ganze Firma betroffen sei und er im Moment nichts an seinem PC machen solle. Nachdem Leon seinen Arbeitstag so gut wie möglich mit seinem Mobiltelefon fortfährt, werden alle Mitarbeiter zu einem Notfallmeeting einberufen. Die Geschäftsleitung informiert, dass es von den Daten glücklicherweise ein Cloud Backup gebe, das grosse Problem sei jedoch, dass die Kundendaten dadurch in falsche Hände geraten seien. Alle Mitarbeiter werden um komplette Geheimhaltung des Vorfalls gebeten, da eine Veröffentlichung des Datendiebstahls zu einem Kundenverlust und einem Zusammenbruch des Aktienkurses führen könnte.
Wird das Lösegeld bezahlt, gibt es keine Garantie dafür, dass die Daten tatsächlich entschlüsselt oder nicht dennoch verkauft werden. Häufig verschlüsselt Ransomware nur kleinere Dateien und zerstört grössere, um schneller alle Geräte sofort zu sperren, ohne dass ein Unternehmen reagieren kann. Laut Tripwire, einem renomierten US-amerikanischen Security Unternehmen, haben 39 % der betroffenen Unternehmen, welche das Lösegeld bezahlt haben, keine Daten zurückbekommen und 2021 erhielten weniger als 5 % der Unternehmen alle Daten zurück. Zudem zahlten 26 % der Unternhmen, die, ein unabhängiges Daten-Backup hatten, dennoch das Lösegeld, vermutlich um das Risiko von einer Veröffentlichung des Datendiebstahls zu reduzieren.
In den darauffolgenden Tagen müssen alle Mitarbeiter ihre Passwörter ändern, alle PCs werden neu installiert, und es gibt eine Betriebsversammlung, bei der erklärt wird, dass die Sicherheit des Firmennetzwerkes wiederhergestellt sei, den Kunden werde jedoch nichts bezüglich des Vorfalls mitgeteilt, es sei nicht sicher, dass Kundendaten durch die Attacke missbraucht werden und es ist nicht verpflichtend, die Kunden zu informieren. Leon und einige seiner Kollegen sind mit der Haltung der Firmenleitung nicht einverstanden, respektieren jedoch deren Entscheidung. Ob am Ende Ransomwarelösegeld gezahlt wurde erfährt Leon nicht.
Am Beispiel von Leons Firma wird gezeigt, wie die meisten Unternehmen mit einer Ransomware Attacke umgehen. Dies wird auch indirekt in einem Interview mit zwei Cybersecurity-Experten, Michael und Phillip von Postfinance, bestätigt. Auf die Frage, ob Postfinance schon einmal einen Ransomware Vorfall hatte, antwortet Phillip:
„Ich glaube diese Frage würden wir nicht ehrlich beantworten“ (lacht).
Für viele Kunden betroffener Unternehmen bedeutet dies, dass ihre Kreditkartendaten & Benutzerlogins in die Hände von kriminellen gelangt ist, und sie aufgrund der Haltung ihres Benutzerportals nicht rechtzeitig oder angemessen darauf reagieren können. Laut Trend Micro sind 88% der im ersten Halbjahr 2022 befragten Schweizer Unternehmen von Cyberangriffen betroffen worden bei denen Kundendaten verloren oder gestohlen wurden, wobei davon 28% mehr bis sieben oder mehr derartige Vorfälle in den letzten 12 Monaten hatten. Zudem steigt die Anzahl von Ransomware Vorfällen sowie die Höhe der Lösegeldforderungen und die Gesamtsumme bezahlter Ransomware Lösegelder jährlich an. Obwohl laut den Studien von Trend Micro und Sophos die Mehrheit der Schweizer Unternehmen von Cyberkriminalitätsvorfällen mit Ransomware und gestohlenen Kundendaten betroffen zu sein scheinen, werden nur in wenigen Fällen die Kunden informiert und dies meist nicht zeitgerecht. Wegen diesem zunehmenden Problem hat der Schweizer Bundesrat 2022 angekündigt eine frühzeitige Meldepflicht für gefährliche Cyberattacken, wie sie bereits seit 2018 in vielen EU Länder besteht, einführen zu wollen.
Betrachtet man die alarmierenden Daten, kommt schnell die Frage auf, warum es überhaupt so viele Ransomware-Angriffe gibt. Die Antwort liegt in der erschreckenden Einfachheit der Erstellung von Ransomware. Für Philipp hat es keine 5 Minuten gedauert um Ai generierte Ransomware zu erstellen und das längste dabei, sei das aufstarten von ChatGPT gewesen. Er meint
„Du kannst vom Basistool bis hin zu wirklich für Angriffe gemachte Software kannst du verschiedenes Zeugs irgendwo im Netz finden“.
Hunderte von Tools wie Chaos Ransomware Builder, Catlogs, SQLBOX und Aio Stealer ermöglichen es, ohne Vorkenntnisse innert kürzester Zeit Ransomware zu generieren. Ausserdem gibt es viele grosse Cybercrime-Gruppen, die professionell Ransomware entwickeln und für andere als kostenpflichtiger Service verbreiten.
Umso mehr stellt sich die Frage wie sich Unternehmen gegen die zunehmende Bedrohung durch Cyberkriminalität insbesondere Ransomware schützen. Bei PostFinance spielt man intern ein Katz und Maus Spiel mit Gruppen Rot und Blau (Angreifer und Beschützer) wobei sie nicht Gegeneinander sondern Miteinander am Ziel, PostFinance sicherer zu machen arbeiten. Michael erklärt:
„Er (Philipp) ist eher so im Red Team, Ich im Blue Team. Dort kennen wir dann die Tools auch und das hilft uns dann nachher…“
Ein anderes System stellen Bug Bounty’s da. Dabei bezahlt ein Unternehmen externe Hacker, falls sie Sicherheitslücken finden und melden können. PostFinace hat mit Bug Bounty Programmen, insbesondere nicht öffentlich bekannten, so Philipp selber Erfahrungen gemacht und gewisse Learnings daraus gezogen. Da die PostFinance aber „spezielle Anforderungen“ hat und nicht viele öffentlich exponierte Anwendungen habe, verwenden sie keine Bug Bounty Programme.
Man kann der Sicherheit unseres Internets oder unserer Daten heute nicht mehr blind vertrauen. Es ist wichtig zu verstehen welches Ausmass Ransomware Angriffe auf online Portale oder Privatpersonen haben können und das jeder für sich Massnahmen vornimmt, um möglichen Missbrauch oder Verlust der eigenen Daten zu verhindern. Im Einfachen ist es bereits eine gute Idee für jeden Account ein anderes Passwort zu nehmen. Selbst Multi Factor Authentication kann leicht übergangen werden, wenn die Angreifer auch Browser Cookies erbeuten können. Deshalb ist es sinnvoll Cookies auf wichtigen Seiten abzulehnen. Virtuelle Kreditkarten zum einmaligen Gebrauch wie z.B. Revolut, Cakepay oder PayWithMoon verunmöglichen, dass auf Webshops gespeicherte Kreditkarteninformationen missbraucht werden. Für Daten die wichtig sind sollte ein externes Backup erstellt werden und für Daten die nicht in falsche Hände geraten sollten, ist es ratsam diese zu verschlüsseln.
Quellen:
TrendMicro:
https://www.computerworld.ch/security/studie/88-prozent-schweizer-firmen-opfer-cyberangriffs-2816712.html
Sophos:
Tripwire:
The State of Security: Ransomware | Tripwire
Botschaft zur Meldepflicht für gefährliche Cyberangriffe:
https://www.admin.ch/gov/de/start/dokumentation/medienmitteilungen.msg-id-92030.html
Nationalrat will Meldepflicht für Cyberangriffe einführen (watson.ch)