HiSolutions Research

Ryuk-Zuck, Conti-nentaldrift: Die Wandlung der Ransomware

Kurzzeitig hatten Beobachtende und (potenziell) Betroffene zuletzt aufatmen können: Ransomware-Gangs wie die berüchtigte REvil-Gruppe waren durch konzertierte Aktionen von Strafverfolgungsbehörden unter Druck geraten. In der Folge hatten die Cyberkriminellen bestimmte Aktivitäten eingestellt; die sogenannte „victim shaming“-Site von REvil, auf der die gehackten Organisationen samt einem Teil ihrer gestohlenen Daten präsentiert wurden, um den Druck zur Zahlung des Lösegelds zu erhöhen, ging offline.

Nun scheint in den letzten Wochen eine Verlagerung der Aktivitäten und Anpassung der „Geschäftsmodelle“ stattgefunden zu haben. Die Kampagne „Conti“ etwa ist laut Informationen auf ihrer eigenen Website dazu übergegangen, neben den bisherigen Standbeinen „Lösegeld für Entschlüsselung“ und „Lösegeld oder wir leaken die Daten“, zusätzlich Zugriff in die Netze der gehackten Organisationen zum Kauf anzubieten.

Noch wird spekuliert, was der wirkliche Grund für diesen „Pivot“ ist. Einerseits würde dieser Schritt FIN12 – der Gruppe hinter Conti und Ryuk – eine zusätzliche Einnahmequelle ermöglichen. Zum anderen scheint das verlässliche und systematische Leaken von Daten, ohne das die Erpressung nicht wirken kann, die Gruppen vor erhebliche Herausforderungen zu stellen – technisch sowie hinsichtlich der Strafverfolgung. Denn Tor-/Onion-Sites im „Darknet“ haben eine geringe Bandbreite, während öffentliche Downloadseiten im Internet schneller gesperrt werden können. Es bleibt also zu beobachten, in welche Richtung sich die Marktbereinigung und Reorganisation weiterentwickelt und ob die Schläge von FBI und Co. am Ende eine positive Auswirkung hatten.

https://krebsonsecurity.com/2021/10/conti-ransom-gang-starts-selling-access-to-victims/

HiSolutions Research

Gemein(de)heit: Kommunen im Visier

Banken, Versicherungen und ähnliche im Wesentlichen bitschubsende Branchen sind Bedrohungen aus der Cyber-Ecke schon länger gewohnt und haben daher ihre Abwehr bereits seit den 90er-Jahren schrittweise hochgefahren, bisweilen auch zusätzlich motiviert durch gewisse regulatorische Schachzüge. Die cyberphysischen Sektoren wie Energie, Produktion und Wasser sind irgendwann in der Folge von Stuxnet Ende der 2010er-Jahre nach und nach erweckt worden. Und Krankenhäuser etwa hat es nach 2015 zunehmend erwischt, sodass auch sie aufrüsten mussten und weiterhin müssen.

Kommunen wurden auch bisher schon vereinzelt Opfer organisierter Cyberkriminalität. Ebenso gab es den einen oder anderen spektakulären Fall, wie den des Admins, der bis ins Gefängnis hinein das Generalpasswort als Geisel hielt. Die Mehrheit der Fälle waren jedoch Zufallstreffer: Kollateralschäden der Angry-Bear-Strategie der Ransomware-Gangs. Wütende Bären, die es gezielt auf Gemeinden abgesehen hatten, anstatt hungrig wahllos auf Beutezug zu gehen, waren bisher anderen Zielen zugetan.

Nun scheint es einen Dammbruch zu geben: Kommunen werden aktuell am laufenden Band digital „aufgemacht“ und ausgenommen.

Das hat zumindest zwei Gründe: Erstens sind die Taschen der öffentlichen Hand bekanntlich tief. Zwar sind die Kommunen selbst meist klamm, aber wirklich Pleite gehen lassen wie bei einer in den Sand gesetzten Wirtschaftsunternehmung werden wir sie im föderalen System letztlich ja doch nicht. Und Verschuldung geht am Ende im Notfall doch immer unbegrenzt, wenn der Schuldner Staat heißt.

Zum anderen – auch das hat (auch) mit der begrenzten finanziellen Ausstattung zu tun – sind die Kommunen IT-mäßig noch einmal deutlich schlechter aufgestellt als Verwaltungen auf Landes- oder gar Bundesebene. Solange es hier angeblich auch weniger zu holen gab, konnte man das vielleicht sogar als angemessen – Fachleute sagen lieber „risikoorientiert abgewägt“ – durchgehen lassen. Seit die Gangs jedoch verstanden haben, dass hier lohnenswerte UND leichte Ziele zu Hunderten auf die Ernte warten, hat die Hölle angefangen loszubrechen.

Was wir aktuell sehen, dürfte nur der Anfang eines mehrjährigen Prozesses sein, aus dem die kommunale Verwaltung mit vielen Schrammen, aber am weit entfernten „Ende“ nur gestärkt hervorgehen kann. Alles andere können wir uns gar nicht leisten.

Es wird in der nächsten Zeit darauf ankommen, wie lang und schmerzhaft zu werden wir dem Prozess erlauben.

https://www.waz.de/region/rhein-und-ruhr/nach-witten-it-experten-erwarten-weitere-hacker-attacken-id233620623.html

SD-Speicherkarten

Schutz gegen Ransomware: HiSolutions Selbsthilfe Offline-Backup

von Enno Ewers, Clara Eichel, Daniel Jedecke & Andreas Salm

Ransomware ist und bleibt die größte IT-Bedrohung für Unternehmen und öffentliche Einrichtungen. Alle Daten eines digitalen Systems können im Angriffsfall verschlüsselt werden – das schließt Sicherungskopien mit ein. Häufig werden diese sogar zuerst vom Angreifer gelöscht, gesperrt oder manipuliert. 

Beim klassischen Backup ist das oberste Ziel die schnelle Wiederherstellbarkeit für „normale“ Fehlfunktionen, daher sind die Backup-Daten oft „live“ im Zugriff durch die IT-Infrastruktur – und damit auch durch den Angreifer. Ein Ransomware-sicheres Backup verweigert dem Angreifer diesen Zugriff.

Aktuell ist die Gefahr durch HAFNIUM/ProxyLogon besonders groß.

Unser Selbsthilfe-Dokument Offline-Backup soll praktische Möglichkeiten zur Umsetzung insbesondere für kleine und mittlere Unternehmen aufzeigen.

HiSolutions Research

HISOLUTIONS – Erfolgreiches Krisenmanagement nach Ransomware-Angriff

Infolge eines Ransomware-Angriffs wurden kürzlich sämtliche Betriebsabläufe einschließlich des vollautomatisierten Herstellungsprozesses bei der Firma Schäfer Trennwandsysteme GmbH, Produzentin von Systemen für Umkleide- und Sanitäranlagen, unterbrochen und das Unternehmen erpresst. Dass ein solcher Vorfall bei professionellem Krisenmanagement nicht katastrophal ausgehen muss, zeigt eine gerade veröffentlichte Fallstudie von Schäfer und HiSolutions: Dank umgehender Unterstützung in Form von Krisenmanagern vor Ort und Beratung zum Aufbau eines Krisenmanagements, der dazugehörigen Kommunikation sowie bei der forensischen Analyse und Wiederherstellung der Geschäftsfähigkeit konnten nach vier Wochen der Regelbetrieb wiederhergestellt und nennenswerte Verzögerungen in der Auslieferung von Kundenaufträgen verhindert werden.

https://www.hisolutions.com/detail/krisenmanagement-nach-ransomware-angriff

HiSolutions Research

Wall of… Awareness: Prominente Opfer 2020

2020 sollte allen klar sein, dass es keine Schande ist, Opfer von Ransomware oder anderen großen Cyber-Attacken geworden zu sein. Es kann jedes Unternehmen und jede Behörde treffen. In diesem Jahr waren unter anderem die folgenden Institutionen an der Reihe – ihnen gebührt unser aller Dank, dass wir aus diesen öffentlich bekannten Fällen lernen durften, um besser gerüstet zu sein.

Finanz- und das Handelsministerium (USA), AstraZeneca , Europäische Arzneimittelbehörde, Klinikum Düsseldorf, BW Fuhrpark Service, TX Group (Mediengruppe), Hirslanden-Gruppe (Krankenhaus), Argentinisches Innenministerium (Passdaten), Wipotec Gruppe (Maschinenbau), GWG Wohnungsbaugesellschaft München, Marabu (Druckfarbenhersteller), Manchester United (Fußball), Flughafen Saarbrücken, Magellan Health, Schmersal (Sicherheitsschaltgeräte und Systeme), Münchner Sicherheitskonferenz, X-Fab (Halbleiter), Software AG, Easyjet, KME (Kupferhersteller), Kammergericht Berlin, Humboldt-Universität, Stadtverwaltung Potsdam, Handwerkskammer Hannover, Ruhr-Universität Bochum, Swatch, DFB, Universität Augsburg, Tracto (Maschinenbau), Fresenius, Optima (Verpackungen), Garmin, Netzsch (Maschinenbau), Technische Werke Ludwigshafen, Kölner Universitäts- und Stadtbibliothek, Sopra Steria, Vastaamo, Symrise, …

HiSolutions Research

Impfforscher ja, Kaninchenquäler nein – Ransomware-Gruppe will selektive Gnade walten lassen

Die Ransomware-Gruppe SunCrypt gibt an, zukünftig Organisationen im Gesundheitsbereich schonen zu wollen und hat auch bereits ein Unternehmen von der Opferliste gestrichen. Zwar haben sich derartige Versprechungen in der Vergangenheit schon als Augenwischerei oder zumindest nicht nachhaltig entpuppt, die ethische Diskussion ist bei SunCrypt jedoch schon weit fortgeschritten. So will man nicht allgemein den Sektor verschonen, sondern etwa an COVID-Impfstoffen Forschende und Krankenhäuser, nicht jedoch Firmen, die Tierversuche für Kosmetika durchführen. Die nächste Kampagne soll übrigens gegen Cybersecurity-Firmen gerichtet sein… 

https://www.databreaches.net/suncrypt-ransomware-group-swears-off-medical-entities-sets-sights-on-cybersecurity-firms/

HiSolutions Research

Schweigegeld: Organisationen trotz Backups erpressbar

Seit neuestem häufen sich die Fälle, in denen Institutionen die Forderungen von Ransomware-Erpressern zahlen, obwohl sie dank korrekter Backups die Daten wiederherstellen konnten: Die Verbrecher setzen das Mittel der Drohung der Veröffentlichung der vor der Verschlüsselung gestohlenen Daten derart geschickt ein, dass in diesem Fall etwa die University of Utah lieber 457.000 US-Dollar berappte.

https://www.zdnet.com/article/university-of-utah-pays-457000-to-ransomware-gang/

HiSolutions Research

Lesetipps September 2020

Fail Safe

Wunderschöne Liebeserklärung von Bloggerlegende Felix von Leitner (Fefe) an die Programmiersprache Rust im Speziellen und an sichere Programmiersprachen im Allgemeinen.

https://www.heise.de/hintergrund/Entwicklung-Warum-Rust-die-Antwort-auf-miese-Software-und-Programmierfehler-ist-4879795.html


Priceless

Der Privacy-Forscher Lukasz Olejnik rechnet vor, was anderen unsere Datenspuren im WWW wert sind.

https://lukaszolejnik.com/rtbdesc


Spannend

Sherrod DeGrippo von Proofpoint erzählt von den neuesten Entwicklungen in der Ransomware-Industrie. „Fallen zwei oder drei Gangs weg, kommen fünf neue.“

https://www.sueddeutsche.de/wirtschaft/cybersicherheit-fallen-zwei-oder-drei-gangs-weg-kommen-fuenf-neue-1.5024654


It’s always DNS – aber sicher!

Das Tunneln von DNS-Anfragen über TLS (DoT) oder HTTPS (DoH) verspricht Sicherheits- und Datenschutzvorteile, die unser Kollege Michael Sehring hier untersucht:

HiSolutions Research

Totgecybert? Kollateralschäden von Ransomware

Ein eventuelles erstes Todesopfer eines Cyberangriffs in Deutschland hat die Debatte um Kritische Infrastrukturen und IT-Sicherheit in Krankenhäusern aufgeschreckt. Ein fehlgeleiteter Ransomware-Angriff auf das Uniklinikum Düsseldorf – es sollte eigentlich „nur“ die Universität treffen – hat zum Shutdown des Krankenhausbetriebs geführt. Obwohl die in Russland vermuteten Täter der Gruppe DoppelPaymer nach Mitteilung des Irrtums durch die Polizei umgehend die Schlüssel herausrückten, um das Krankenhaus wieder in Gang zu bringen, laufen nun Ermittlungen wegen des Verdachts der fahrlässigen Tötung einer Patientin, die statt in die nahe Uni-Klinik in ein weiter entferntes Krankenhaus gebracht worden und gestorben war. Ein eventuelles Gerichtverfahren wäre Neuland und ein möglicher Präzedenzfall für den Umgang mit Angriffen auf Kritische Infrastrukturen. Ähnlich wie bei anderen aktuellen Themen – etwa den Mordanklagen gegen Raser – bewegen sich hier nicht nur Ermittlungsbehörden, sondern auch Gerichte auf dünnem Eis. Gleichzeitig dürfte die Auseinandersetzung mit dem und über das Thema entscheidend mitgestaltend daran sein, wie wir als Gesellschaft Verantwortung und Rechenschaft im Internet sehen, leben und verfolgen wollen.

https://www.heise.de/news/Uniklinik-Duesseldorf-Ransomware-DoppelPaymer-soll-hinter-dem-Angriff-stecken-4908608.html