FM4-Logo

jetzt live:

Aktueller Musiktitel:

Trojanisches Pferd und Sicherheitsschloss

Radio FM4

Erich Moechel

Schwere Kollateralschäden durch Erpressungstrojaner

Die Schäden durch Produktionsausfälle übersteigen die in Summe verlangten Lösegelder um ein Vielfaches. Die Vertuschungspolitik vieler Firmen aber auch Behörden macht eine Abschätzung der Schadenshöhe durch schwierig.

Von Erich Moechel

Am Dienstag hat Travelex, das weltgrößte Geldwechselunternehmen, nach einmonatiger Zwangspause den ersten seiner Services wieder aufgenommen. Ende Dezember wurde Travelex mit dem Verschlüsselungstrojaner Sodinokibi (alias REvil) angegriffen. Während das Unternehmen weiterhin behauptet, dass dies keine finanziellen Auswirkungen auf die Umsätze haben werde, hat sich der Börsenwert der Mutterfirma Finablr seitdem halbiert.

In den letzten fünf Monaten hatten Sicherheitsforscher der KPN 150.000 PC-Infektionen allein durch Sodinokibi festgestellt. Die nachgewiesenen Lösegeldforderungen belaufen sich auf 38 Millionen Euro, die Dunkelziffer sollte jedoch weit höher sein. Noch vielfach höher liegen die Kollateralschäden vor allem durch den Stillstand der Produktion. Zuletzt hatte es den deutschen Automobilzulieferer Gedia erwischt, das Unternehmen geht von Monaten für die Behebung des Schadens aus.

London Stock Exchange

London Stock Exchange

Der Börsenkurs des Mutterkonzerns von Travelex ist während der laufenden Erpressung von 173 auf 92 Pfund an der Londoner Börse abgestürzt.

Hanebüchene Vertuschungen

Die neue Masche der Verschlüsselungserpresser funktioniert anscheinend so gut, dass immer mehr Kriminelle von Kontodiebstahl auf Erpressung umsteigen.

Von den Angriffen, die von den Sicherheitsforschern festgestellt wurden, waren viele nicht öffentlich bekannt, denn offensichtlich werden viele Attacken von den betroffenen Firmen noch immer nicht gemeldet, sondern vertuscht, soweit das möglich ist. Alle aufgeführten Statistiken seien daher nur als Subset des totalen Ausmaßes der Angriffe anzusehen, schrieben die KPN-Forscher in ihrem Blog: „Das tatsächliche Problem ist weitaus größer, als wir messen können.“

Im Fall von Travelex - eine Millarde Pfund Umsatz, 5.000 Angestellte, 1.500 Filialen - war die versuchte Vertuschung allerdings ausgesprochen hanebüchen angelegt. Eine volle Woche lang war das Unternehmen weder via E-Mail noch per Telefon erreichbar, auf der Website behauptete man derweil steif und fest, dass Travelex wegen routinemäßiger Wartungsarbeiten offline sei. In Sicherheitskreise war da bereits bekannt, dass die Angreifer über einen ungesicherten VPN-Gateway des Herstellers Pulse Secure ins Netz von Travelex gekommen waren.

Planned Maintenance

Travelex

Eine volle Woche lang hatte Travelex auf seiner Website behauptet, dass es es sich um routinemäßige Wartungarbeiten handle.

Wie Vertuschung den Schaden maximiert

Bereits im Juni 2019 war die erste Welle der Erpressung großer Firmen mit Verschlüsselung von den USA nach Europa übergeschwappt

Und dann gingen die Erpresser selber an die Öffentlichkeit, nachdem sie das Lösegeld von drei auf sechs Millionen erhöht hatten, um den Druck auf Travelex noch zu erhöhen. Das hatte einen weiteren Einbruch des Börsenwerts der Konzernmutter zur Folge, mittlerweile gingen binnen eines Monats mehrere hundert Millionen britische Pfund verloren. Nach Ansicht eigentlich aller Fachexperten hat die versuchte Vertuschung den Löwenanteil am Gesamtschaden angerichtet.

Die international tätige deutsche Karosseriebaufirma Gedia - 600 Mio Euro Umsatz, 4.300 Angestellte weltweit - wurde vor einer Woche schwer erwischt. Seitdem ist das Unternehmen im Notbetrieb. Wieviel Lösegeld in diesem Fall gefordert wurde, ist derzeit nicht bekannt, es ist aber von einer Summe im unteren Millionenbereich auszugehen. Das deckt sich mit den Schätzungen der KPN-Sicherheitsexperten, denn die Sodonokibi-Gang orientiert sich an den Umsätzen der gekaperten Unternehmen.

KPN_REvil

KPN

Die Sicherheitsforscher von KPN hatten verschiedene Samples der Schadsoftware, die im Netz kursieren, in einer Sandbox-Umgebung zum Laufen gebracht und den Datenverkehr mit den Command/Control-Servern der Sodinokibi-Gang in Folge analysiert.

Vertuschung durch ein ordentliches Gericht

Auch auf ungesicherten Citrix-Gateways großer Unternehmen wurden bereits erste Verschlüsselungstrojaner gesichtet, in die Netze selbst konnten sie bisher offenbar nicht vordringen.

Ein besonders übles Beispiel einer solchen Vertuschung liefert das Berliner Kammergericht bereits seit September. Der Angriff des Verschlüsselungstrojaners Emotet wurde erst monatelang heruntergespielt, dabei waren 500 Richter und Staatsanwälte ebensolang vom Netz. Bis heute blockiert das Gerichtspräsidium die Veröffentlichung des gesamten Untersuchungsberichts über den Angriff mit dem „Argument“, dass durch die Bekanntgabe der Details andere Kriminelle dazu angestiftet werden könnten, auch ihrerseits so einzubrechen.

Das ist schon einigermaßen zeit- und weltvergessen, denn so eine skurrile „Argumentation“ war zuletzt in den 90er Jahren des vorigen Jahrtausends zu hören gewesen. Ein am Montag geleaktes Papier des IT-Dienstleisters T-Systems kommt zu einem vernichtenden Urteil. Die Angreifer waren nicht nur in der Lage, unter Verschluss gehaltene Gerichtsakten - etwa Einvernahmen in Prozessen gegen Terroristen - abzuziehen, sondern die Datensätze auch nach Belieben zu manipulieren.

Vorläufiger Epilog

Sicherheitslücken werden - allen Warnungen zum Trotz - viel zu spät geschlossen, wenn dann etwas passiert, wird noch immer von zuvielen Firmen aber auch Behörden in erster Linie einmal versucht, den Vorfall möglichst stillschweigend unter den Teppich zu kehren. Die im Rahmen der EU-Richtlinie zur Netzwerksicherheit in allen EU-Staaten eingerichteten Frühwarn-Zentren können deshalb vor den neu verwendeten Maschen und Methoden der kriminellen Akteure nicht rechtzeitig warnen. Dadurch steigen die Erfolgsraten der Ransomware-Erpresser, in Folge steigen weitere Kriminelle in dieses lukrative Geschäftsfeld ein.

Es gibt wieder einen RSS-Feed für diesen Blog. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.

Aktuell: