FM4-Logo

jetzt live:

Aktueller Musiktitel:

Containerschiff, davor hängt eine Kette mit Schloss

CC0

Erich Moechel

Verschlüsselungserpresser legen nun große Konzerne lahm

Die Uhrenmacher Swatch Group, eine französische Großreederei, der mithin größte private Spitalsbetreiber mit 400 Kliniken sowie ein großer Versicherungsbroker in den USA wurden binnen einer Woche erfolgreich angegriffen.

Von Erich Moechel

Mittlerweile vergeht kaum ein Tag, ohne dass ein großes Unternehmen den erfolgreichen Angriff von Verschlüsselungserpressern melden muss. In der letzten Septemberwoche hatte es nacheinander den Uhrenfertiger Swatch, die französische Großreederei CMA CGM, die US-Spitalkette Universal Health Services sowie Arthur J. Gallagher, einen der weltgrößten Versicherungsbroker kalt erwischt.

Details liegen zwar noch kaum vor, aber in wenigstens zwei dieser Unternehmen werden Einwahl-Gateways und Server der Firmen Citrix bzw. F5 Networks eingesetzt, die durch zwei ähnliche, kapitale Sicherheitslücken aufgefallen waren. In Deutschland versucht das CERT (Computer Emergency Response Team) gerade, die letzten immer noch ungesicherten Citrix-Maschinen postalisch zu kontaktieren. Eine unbekannte Zahl spät gesicherter Systeme ist seit dem Frühjahr mit Hintertüren versehen. Für die F5-Gateways gilt dasselbe seit Ende Juli.

Text

CERT-Bund

In Deutschland waren neun Monate nach Entdeckung der schweren Sicherheitslücke zuletzt noch immer achtzig Netze völlig ungesichert. Als wirklich sicher gelten nur jene Citrix-Systeme, die mit der neuesten Version des Betriebssystems neu aufgesetzt wurden.

„Blackmail as a Service“

Beim Angriff auf die Uniklinik Düsseldorf waren die Täter ebenfalls über die Citrix-Installationen eingedrungen.

Diese Backdoors, die es ermöglichen, auch mittlerweile mit einem Sicherheits-Patch des Herstellers versehene Gateways und Server anzugreifen, werden nun im Paket an Erpresserbanden vermarktet. Auf dem Schwarzmarkt werden Zugänge zu großen Netzen mitsamt einem passenden Schadsoftware-Paket wie gewöhnliche Cloud-Services angeboten, nur dass es in diesem Fall eben „Blackmail as a Service“ ist. Wurden davor eher Mittelständler, akademische Institutionen und Stadtverwaltungen angegriffen, sind nun ausgewachsene Konzerne an der Reihe.

Am 26. September wurden die Buchungssysteme der auf Containerfrachten spezialisierten Reederei CMA CGM weltweit vom Netz genommen. Laut der ersten Aussendung der Firma war ein „internes IT-Problem“ dafür verantwortlich, zwei Tage später war es dann doch ein Cyberangriff, der aber nur „Server an der Peripherie“ betreffe. Am 1. Oktober musste CMA CGM dann eingestehen, dass wahrscheinlich Daten gestohlen wurden, sämtliche Buchungssysteme sind weiterhin vom Netz.

Text

CMA CGM

Das ist die App für Kunden der angegriffenen Reederei CMA GCM, erhältlich bei Google Play. Die App ist über das Citrix-System mit Datenbank- und Applikationsservern im Netz der Reederei verbunden.

„Sicherheit der Daten verbessert“

Der Elektronische Aktenverkehr ELAK in Österreich ging an einem Montagmorgen vom Netz, um das Citrix-System zu patchen, mehr als drei Wochen nach dem Bekanntwerden der Lücke.

Das entspricht der derzeit üblichen Vorgehensweise der Erpresserbranche. Erst werden massenhaft Daten aus dem System kopiert, dann werden die originalen Datensätze verschlüsselt oder gleich das gesamte Datenbanksystem. Da Buchungssysteme ja nahe an der Echtzeit funktionieren müssen, sind sie direkt mit den internen Datenbanken und Servern des Unternehmens verbunden. Ganz ähnliche Gerätschaften, nämlich Gateway-Server, verbinden die „Peripherie“, also die eigenen Niederlassungen, Partnerfirmen und Agenturen direkt mit der zentralen IT des Konzerns.

Der Mutterkonzern Merit hatte die unterschiedlichen IT-Systeme seiner Tochterfirmen - die CMA CMG ist davon die größte - während der letzten Jahre vereinheitlicht. Man war überall auf Citrix-Equipment umgestiegen, diese Systeme galten bis zum Auftauchen einer im Grunde unfassbaren Sicherheitslücke zum Jahreswechsel als grundsolide und sehr sicher. Bis sich herumsprach, dass beim Login mit dem Benutzernamen „Nobody“ kein Passwort abgefragt wurde. Man kam so direkt auf ein Kommandozeilenprogramm und hatte Administratorenrechte.

Text

Citrix Merit

Die Konzernmutter Merit der Reederei ist auf der Website von Citrix als Referenzkunde angeführt. Hier wird der Sicherheitsgewinn gepriesen, der dadurch erzielt wird, dass die Mitarbeiter dateilos arbeiten können. Wichtige Dokumente werden nicht mehr auf Laptops mitgeführt, sondern jeweils vor Ort über die Gateway-Server direkt aus den Systemen des Unternehmens abgerufen. „Die Sicherheit und Verlässlichkeit unserer Daten wurde dadurch stark verbessert.“

Weiters angegriffen wurden

Wohl andere Akteure brachen am selben Tag in das Netz von Gallagher ein, einem der weltgrößten Versicherungsbroker. Das einschlägig spezialisierte Fachmagazin BleepingComputer hat herausgefunden, dass dort Gateways und Applikationsserver von F5 Networks im Einsatz sind. Diese Systeme waren Anfang Juli mit einer so gravierenden Sicherheitslücke aufgefallen, dass sich sogar US Cybercom zu einer seiner seltenen Interventionen genötigt sah. Darunter waren nämlich auch eine große Zahl militärisch genutzter Netze. Drei Wochen nach dieser Warnung waren immer noch 8.500 F5-Systeme in den USA ungepatcht.

Im selben Zeitraum wurde mit Universal Health Services - mit 400 Kliniken einer der größten Spitalsbetreiber in den USA - angegriffen, zuletzt hatte es die Schweizer Uhrenmacher Swatch Group kalt erwischt. In allen Fällen wurden Nachrichtensperren verhängt, das macht die Beurteilung der Ausmaße natürlich schwierig. Obendrein hat man es bei den Angreifern nicht mit einer homogenen Gruppe zu tun, sondern mit ganz unterschiedlichen kriminellen Gangs. Während die einen sehr professionell arbeiten und dadurch erreichen, dass Lösegelder ausbezahlt werden, agieren andere ziemlich tollpatschig.

Warum die Erpressungsmasche so gut funktioniert

Im Fall der Uniklinik Düsseldorf waren die Täter überzeugt, dass sie eine Universität überfallen hatten, das hinterlassene Erpresserschreiben richtete sich an die Heinrich-Heine-Universität Düsseldorf. Als die Erpresser kontaktiert werden konnten und erfuhren, dass sie hier das größte Notfallkrankenhaus weit und breit erwischt hatten, stellten sie die Schlüssel zur Verfügung und verschwanden. Und das ist auch der Punkt.

Fast alle diese Angreifer können ihren Opfern nämlich mittlerweile glaubhaft machen, dass sie die Daten auch tatsächlich wieder entschlüsseln können. Die Regel ist, dass die erpresste Institution drei verschiedenen Dateien nennt, die als Beweis entschlüsselt zurückgegeben werden müssen. Das fördert den Zahlungswillen, denn in der Regel sind die Systemausfälle über den gesamten Zeitablauf weit teurer als die geforderten Summen. Da nun sehr umsatzstarke Unternehmen überfallen werden, steigen auch die Lösegelder. Die Forderungen haben mittlerweile zweistellige Millionensummen erreicht.

Es gibt wieder einen RSS-Feed für diesen Blog. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.

Aktuell: