Schwere Kollateralschäden durch Erpressungstrojaner
Von Erich Moechel
Am Dienstag hat Travelex, das weltgrößte Geldwechselunternehmen, nach einmonatiger Zwangspause den ersten seiner Services wieder aufgenommen. Ende Dezember wurde Travelex mit dem Verschlüsselungstrojaner Sodinokibi (alias REvil) angegriffen. Während das Unternehmen weiterhin behauptet, dass dies keine finanziellen Auswirkungen auf die Umsätze haben werde, hat sich der Börsenwert der Mutterfirma Finablr seitdem halbiert.
In den letzten fünf Monaten hatten Sicherheitsforscher der KPN 150.000 PC-Infektionen allein durch Sodinokibi festgestellt. Die nachgewiesenen Lösegeldforderungen belaufen sich auf 38 Millionen Euro, die Dunkelziffer sollte jedoch weit höher sein. Noch vielfach höher liegen die Kollateralschäden vor allem durch den Stillstand der Produktion. Zuletzt hatte es den deutschen Automobilzulieferer Gedia erwischt, das Unternehmen geht von Monaten für die Behebung des Schadens aus.
London Stock Exchange
Hanebüchene Vertuschungen
Die neue Masche der Verschlüsselungserpresser funktioniert anscheinend so gut, dass immer mehr Kriminelle von Kontodiebstahl auf Erpressung umsteigen.
Von den Angriffen, die von den Sicherheitsforschern festgestellt wurden, waren viele nicht öffentlich bekannt, denn offensichtlich werden viele Attacken von den betroffenen Firmen noch immer nicht gemeldet, sondern vertuscht, soweit das möglich ist. Alle aufgeführten Statistiken seien daher nur als Subset des totalen Ausmaßes der Angriffe anzusehen, schrieben die KPN-Forscher in ihrem Blog: „Das tatsächliche Problem ist weitaus größer, als wir messen können.“
Im Fall von Travelex - eine Millarde Pfund Umsatz, 5.000 Angestellte, 1.500 Filialen - war die versuchte Vertuschung allerdings ausgesprochen hanebüchen angelegt. Eine volle Woche lang war das Unternehmen weder via E-Mail noch per Telefon erreichbar, auf der Website behauptete man derweil steif und fest, dass Travelex wegen routinemäßiger Wartungsarbeiten offline sei. In Sicherheitskreise war da bereits bekannt, dass die Angreifer über einen ungesicherten VPN-Gateway des Herstellers Pulse Secure ins Netz von Travelex gekommen waren.
Travelex
Wie Vertuschung den Schaden maximiert
Bereits im Juni 2019 war die erste Welle der Erpressung großer Firmen mit Verschlüsselung von den USA nach Europa übergeschwappt
Und dann gingen die Erpresser selber an die Öffentlichkeit, nachdem sie das Lösegeld von drei auf sechs Millionen erhöht hatten, um den Druck auf Travelex noch zu erhöhen. Das hatte einen weiteren Einbruch des Börsenwerts der Konzernmutter zur Folge, mittlerweile gingen binnen eines Monats mehrere hundert Millionen britische Pfund verloren. Nach Ansicht eigentlich aller Fachexperten hat die versuchte Vertuschung den Löwenanteil am Gesamtschaden angerichtet.
Die international tätige deutsche Karosseriebaufirma Gedia - 600 Mio Euro Umsatz, 4.300 Angestellte weltweit - wurde vor einer Woche schwer erwischt. Seitdem ist das Unternehmen im Notbetrieb. Wieviel Lösegeld in diesem Fall gefordert wurde, ist derzeit nicht bekannt, es ist aber von einer Summe im unteren Millionenbereich auszugehen. Das deckt sich mit den Schätzungen der KPN-Sicherheitsexperten, denn die Sodonokibi-Gang orientiert sich an den Umsätzen der gekaperten Unternehmen.
KPN
Vertuschung durch ein ordentliches Gericht
Auch auf ungesicherten Citrix-Gateways großer Unternehmen wurden bereits erste Verschlüsselungstrojaner gesichtet, in die Netze selbst konnten sie bisher offenbar nicht vordringen.
Ein besonders übles Beispiel einer solchen Vertuschung liefert das Berliner Kammergericht bereits seit September. Der Angriff des Verschlüsselungstrojaners Emotet wurde erst monatelang heruntergespielt, dabei waren 500 Richter und Staatsanwälte ebensolang vom Netz. Bis heute blockiert das Gerichtspräsidium die Veröffentlichung des gesamten Untersuchungsberichts über den Angriff mit dem „Argument“, dass durch die Bekanntgabe der Details andere Kriminelle dazu angestiftet werden könnten, auch ihrerseits so einzubrechen.
Das ist schon einigermaßen zeit- und weltvergessen, denn so eine skurrile „Argumentation“ war zuletzt in den 90er Jahren des vorigen Jahrtausends zu hören gewesen. Ein am Montag geleaktes Papier des IT-Dienstleisters T-Systems kommt zu einem vernichtenden Urteil. Die Angreifer waren nicht nur in der Lage, unter Verschluss gehaltene Gerichtsakten - etwa Einvernahmen in Prozessen gegen Terroristen - abzuziehen, sondern die Datensätze auch nach Belieben zu manipulieren.
Vorläufiger Epilog
Sicherheitslücken werden - allen Warnungen zum Trotz - viel zu spät geschlossen, wenn dann etwas passiert, wird noch immer von zuvielen Firmen aber auch Behörden in erster Linie einmal versucht, den Vorfall möglichst stillschweigend unter den Teppich zu kehren. Die im Rahmen der EU-Richtlinie zur Netzwerksicherheit in allen EU-Staaten eingerichteten Frühwarn-Zentren können deshalb vor den neu verwendeten Maschen und Methoden der kriminellen Akteure nicht rechtzeitig warnen. Dadurch steigen die Erfolgsraten der Ransomware-Erpresser, in Folge steigen weitere Kriminelle in dieses lukrative Geschäftsfeld ein.
Es gibt wieder einen RSS-Feed für diesen Blog. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.
Publiziert am 29.01.2020