Montag, 6. September 2021

"Your personal files are encrypted!"


Eine solche Meldung auf dem Bildschirm eines Computers ist kein gutes Zeichen. Da hat man nicht nur Pech gehabt, sondern einen möglicherweise kleinen Fehler gemacht, der aber schwerwiegende Auswirkungen haben wird.

Computer (und Netzwerke) sind die Nervenstränge einer modernen Gesellschaft. Wenn die Nervenbahnen eines Menschen erkranken, dann ist er in seinen Bewegungen eingeschränkt, er leidet. Wenn Computer und Netzwerke gestört oder nicht arbeitsfähig sind, leiden Organisationen und Privatpersonen. Dies kann bis zur Einstellung der Tätigkeit gehen.


Ransomware

Die aktuelle Bedrohung für Computersysteme heißt Ransomware und die Meldung in der Überschrift dieses Textes kommt nach einer Infektion mit Ransomware. Dazu schreibt Wikipedia zur Erläuterung:

Ransomware(von englisch ransom für „Lösegeld“), auch Erpressungstrojaner, Erpressungssoftware, Kryptotrojaner oder Verschlüsselungstrojaner, sind Schadprogramme, mit deren Hilfe ein Eindringling den Zugriff des Computerinhabers auf Daten, deren Nutzung oder auf das ganze Computersystem verhindern kann. Dabei werden private Daten auf dem fremden Computer verschlüsselt oder der Zugriff auf sie verhindert, um für die Entschlüsselung oder Freigabe ein Lösegeld zu fordern.

Quelle: Artikel zu Ransomware auf der Wikipedia

Angeblich zeigt sich dann auf dem Bildschirm eines befallenen PCs folgendes Bild:

Quelle: Wikipedia

So oder so ähnlich meldet sich angeblich das Programm. Und da ich das selbst noch nicht gesehen habe, kann ich nur wiedergeben, was ich zum Thema gefunden habe.


Aufstellung solcher Attacken

Einige Beispiele solcher Fälle von Ransomware-Befall möchte ich hier angeben. Hinter den Links kommen Sie auf Texte mit der Darstellung, wie es der entsprechenden Organisation ergangen ist:

usw.

Wobei der erfolgreiche Angriff auf Maersk ein großes Unternehmen betraf, denn Maersk ist die größte Reederei dieser Welt. Schauen Sie sich einfach mal die Güterzüge im Rheingau an. Auf den dort transportierten Containern lesen Sie häufig den Namen Maersk. Und Sie können sich sicherlich ausmalen, wie es aussieht, wenn ein solcher Weltkonzern auf Bleistift und Papier zurückgeht.

Aber nicht jeder Angriff auf Computer ist ein Angriff mit Ransomware. Manchmal ist es auch einfach ein Eindringen in ein System, um Daten abzugreifen, möglichst vertrauliche Daten. Darunter fällt diese Attacke: Hackerangriffe auf den Deutschen Bundestag.


Angriffsszenarien

Der Angriff auf die Computersysteme erfolgt gerne über Mails. Diese Mails kommen von vertrauenswürdiger Seite, zumindest behaupten ds diese Mails. Aber die Absenderangabe von Mails lässt sich fälschen, sogar ganz einfach. Gerne hängt dann an einer solchen Mail ein Anhang, auf den man klicken soll. Und da diese Mail von einem "vertrauenswürdigen Absender" kommt, klickt man auch schnell mal darauf und dann ist es passiert. Man hat sich ein Programm eingefangen, daß alle greifbaren Daten verschlüsselt. Gleichzeitig verbreitet sich das Programm über das Netzwerk, setzt sich so in anderen Computern fest, und dies tut es besonders gerne an den zentralen Stellen, den Servern.

Ein anderer Weg greift über Schwachstellen in der Software an, also an Lücken, die noch nicht geschlossen worden sind. Bei dem Angriff auf die Computer der Gemeinde Anhalt-Bitterfeld war vermutlich ein Fehler in der Druckersoftware innerhalb von Microsoft Windows die Lücke, die als Einfallstor genutzt wurde.

Im Rahmen des Angriffs mit Ransomware werden nicht nur die greifbaren Daten verschlüsselt sondern vorher auch eine gewisse Menge an Daten auf einen fremden Computer transferiert. Diese benötigt der Urheber des Angriffs, um sich zu legitimieren, denn schließlich will man ja Geld vom Opfer für die Freigabe der Computer.


Geld

Üblicherweise bieten die Ganoven an, daß sie die Daten wieder entschlüsseln, also in den ursprünglichen Zustand zurückversetzen. Natürlich kostet dies Geld, je nach Größe des Opfers können dies ein paar Tausend bis einige Millionen Euros sein. Und natürlich gibt es keine Bankverbindung, da diese einer Person zugeordnet werden kann. Also erwartet man die Zahlung in Bitcoins, denn diese scheinen anonym zu sein. Und die Entschlüsselung Ihrer Daten müssen Sie natürlich selbst vornehmen, Sie erhalten von den Ganoven nur einen Schlüssel, d.h. eine kurze Zeichenfolge, die im Vorgang der Entschlüsselung benutzt wird. Hoffentlich passt dieser Schlüssel.

Großes Ganovenehrenwort? Trauen Sie solchen Ankündigungen? Und was ist, wenn die Zahlung erfolgt, Sie aber danach nichts mehr von den Ganoven hören? Oder Sie erhalten zwar einen Schlüssel, aber dieser ist bei der Entschlüsselung der Daten nicht brauchbar, d.h. nach der Entschlüsselung haben Sie immer noch Schrott, aber nicht Ihre Daten. Kann man Ganoven trauen?


Beispiele solcher Angriffe

Aus meiner beruflichen Tätigkeit möchte ich 2 Beispiele von Angriffen auf PCs darstellen. Anmerken möchte ich, daß ich nicht im Bereich IT-Sicherheit arbeite.

Vor 20 Jahren

Damals war ich in einem Projekt tätig und schrieb Software für diesen Auftraggeber. Und irgendwann waren die Computer von einem Virus befallen worden (da gab es aber keinen Zusammenhang zu meiner Tätigkeit). Das Unternehmen hatte zwischen 30 und 40 Mitarbeiter und eine entsprechende Anzahl PCs. Dieses Virus kam auf irgendeinem Weg in das Unternehmen auf einen PC und pflanzte sich von dort über das Netzwerk auf alle angeschlossenen Computer fort. Nun hatte das Unternehmen Mitarbeiter, die sich hauptberuflich um die Computer kümmerten. Diese fingen auch an, dieses Virus auf den einzelnen Computern zu entfernen, was auch erfolgreich war. Leider fand man das Virus nach wenigen Minuten wieder auf den gerade gesäuberten Computern wieder, wobei die Infektion über das Netzwerk erfolgte. Also alles wieder von vorne. Das Unternehmen arbeitete im Bereich Software-Entwicklung, was dann für mehrere Tage eingestellt werden musste. Nach etwa 4 Tagen war das Unternehmen wieder arbeitsfähig.

Angriff über den Anhang an einer Mail

Bitte bedenken Sie, daß die Viren vor 20 Jahren primitiv waren. In den vergangenen 20 Jahren haben die Programmierer dieser Viren auch dazu gelernt, so daß man diese heute nicht mehr so leicht entfernen kann. Dies möchte ich an einem weiteren Beispiel verdeutlichen, das neueren Datums ist:

Eine Bekannte beschwerte sich über ihren Computer, der immer langsamer laufe. Und dann kam noch ein Brief der Telekom mit dem Inhalt, daß sie ihren Computern säubern solle, da dieser vermutlich von einem Virus befallen sei. Ich habe mir diesen Computer angesehen und festgestellt, daß diese Maschine arsch langsam lief (CPU-Auslastung bei 100%). Daraufhin habe ich im Internet nach Software gesucht, die diesen PC prüfen und möglichst säubern solle. Ich habe da auch ein passendes Stück Software gefunden und dieses auf diesem PC gestartet. Es meldete mir diverse Viren, die das Programm gefunden hatte. Über den angegebenen Namen der einzelnen Viren habe ich Informationen eingeholt, Suchmaschine sei Dank. Und dann habe ich gesagt: auweia, das sah nicht gut aus. Glücklicherweise gibt es aber Software, die solche Viren nicht nur sucht sondern angibt, diese aus dem Computer zu entfernen. Geholt, gestartet und gelesen: xxx Kopien dieses Virus gefunden, Entfernung dieser Viren kosten 25 US-$. Soviel zum Thema kostenlose Software.

Also gut, Rechner platt machen und alles neu installieren. Vorher habe ich natürlich alle Daten gesichert. Das Betriebssystem zu installieren ist kein Problem, dauert 1 bis 2 Stunden, aber es müssen die Daten zurückgespielt und alle Anwendungen neu installiert und wieder eingerichtet werden. Da sind schnell mal 2 Tage weg, für einen PC.

Danach gab es noch einmal kurz Chaos, denn im Mail-Postfach befanden sich plötzlich 1.500 Mails. Eine kurze Prüfung ergab, daß dies Rückläufer waren, d.h. diese Mails wurden vom Mailversender zurückgesandt, da der Empfänger nicht bekannt sei. Das Virus hatte sich somit das Mail-Postfach meiner Bekannten geschnappt und darüber, d.h. unter ihrem Namen, Tausende und Abertausende von Mails mit obskuren Angeboten versandt. Das erklärte auch, warum der Computer so langsam wurde, denn er war mit anderen Dingen (sprich Mailversand) beschäftigt.

Eingefangen hatte meine Bekannte sich diesen Computer-Schädling über eine "Telekom-Rechnung", die sie in ihrer Mail fand. Sauber gemacht und kaum von einer echten Telekom-Rechnung zu unterscheiden, aber diese "Rechnung" stammt eben nicht vom Unternehmen Deutsche Telekom. An diese Mail angehängt war eine PDF-Datei mit den angeblichen Details der Rechnung. Aber dies war keine PDF-Datei sondern eine Datei mit der Endung ".pdf.exe", was Windows 7 aber nicht angezeigt hat, es zeigte nur die Endung ".pdf" an. Einmal drauf geklickt und schon startet das Programm (= die exe-Datei). Und damit hatte meine Bekannte diesen Schädling auf dem Computer.

In diesem Jahr

Das waren alles Beispiele aus der Vergangenheit, und insbesondere keine Attacken mit Ransomware. Aber hier ein aktuelles Beispiel:

Laut einer Umfrage von BR und "Zeit Online" ist es Tätern in mehr als 100 Fällen gelungen, IT-Systeme von Behörden und öffentlichen Einrichtungen zu verschlüsseln. Die Bundesregierung hat über die Fälle keinen Überblick.
....
Als die Hacker kamen, sah Ernst Walter nur noch "Buchstabensalat". So erzählt es der geschäftsführende Beamte der kleinen Gemeinde Kammeltal im Landkreis Günzburg. Anfang April hatten Hacker Server verschlüsselt und wollten die Gemeinde offenbar erpressen. Daten gegen Geld. Die Gemeinde erstattete Anzeige bei der örtlichen Polizei, nach 45 Minuten war die Kriminalpolizei im Rathaus. Doch die konnte wenig ausrichten, bis heute hat die Gemeinde keinen Zugriff auf viele Daten. Sie arbeitet mit einem Backup.

Quelle: Mehr als 100 Behörden erpresst vom 29.6.2021. Die Hervorhebung stammt von mir.

Report des BKA

Das BKA gibt jährlich einen Bericht zu Cyberkriminalität heraus. In diesem findet man u.a.:

4.4 RANSOMWARE
Ransomware zählte auch im Jahr 2020 zu den primären Bedrohungen für Unternehmen und öffentliche Einrichtungen. Von allen Modi Operandi im Phänomenbereich Cybercrime besitzt Ransomware das höchste Schadenspotenzial. Eine Infektion mit Ransomware und eine damit zusammenhängende Verschlüsselung des Systems kann für jede Art von Unternehmen zu massiven und kostenintensiven Geschäfts- bzw. Funktionsunterbrechungen führen.

Attacken auf KRITIS, z. B. Krankenhäuser und Wasserwerke, zeigen, dass erfolgreiche Ransomware-Angriffe drastische Folgen für die Zivilbevölkerung nach sich ziehen und elementare Services des öffentlichen Geschehens sabotieren können.

Quelle: Bundes­lage­bild Cyber­crime 2020 auf Seite 23.


Stadt Wiesbaden

Die Verwaltung der Stadt Wiesbaden ist mit ca. 6.000 Mitarbeitern die größte Organisation in der Region. Viele der dort beschäftigten Mitarbeiter arbeiten in Büros an Computern und sind somit potentielles Ziel für einen solchen Angriff. Und wenn ein Angriff erfolgt ist, dann liegt die Stadtverwaltung lahm, nichts geht mehr. Sie können kein Auto mehr zulassen oder abmelden und erhalten keine Bescheinigungen. Und im ganz harten Fall werden auch keine Rechnungen mehr beglichen, keine Gelder mehr ausgezahlt, auch keine Gehälter an die Mitarbeiter1).

Hat sich die Stadt Wiesbaden auf einen solchen Angriff vorbereitet? Hat sich die Stadtpolitik mit diesem Thema beschäftigt?


TLS hier im Blog

Es ist zu befürchten, daß sich die Stadt Wiesbaden und die Stadtpolitik bisher nicht mit diesem Thema beschäftigt haben. Aber hinterher wird man fleißig mit dem Finger auf Andere zeigen....

Vor ca. 4 Jahren hatte ich bereits das Thema Sicherheit der Computersystem hier auf dem Blog dargestellt. Durch Zufall hatte ich festgestellt, daß ein Server der Stadt Wiesbaden schlecht gesichert war und dieses hier im Blog dargestellt (siehe: TLS). Es hat ca. 5 Monate gedauert, ich hatte weitere Texte zum gleichen Thema hier auf dem Blog veröffentlicht und auch mehrfach mit Vertretern der Stadtpolitik diskutiert, bis dieser Fehler in der Konfiguration des Servers beseitigt wurde. 5 Monate!

Mittlerweile könnte ich diese Diskussion zum gleichen Thema erneut beginnen, denn zu der eingesetzten Software gibt es neuere Version (TLS in der Version 1.3), aber ich will eine solche Diskussion nicht erneut führen.



Fefe

Irgendwie dreht sich die Diskussion im immer gleichen Kreis. Das war nicht vorhersehbar, wir warten auf unsere Lieferanten, uns liegen keine Informationen zu Maßnahmen vor, wir brauchen Zeit für das Einspielen der Patches, wir haben alles getan, aber die bösen Russen/Chinesen/Koreaner(Nord)/xxxxx, usw., also wie immer.

Hier einige deutliche Worte eines ITlers zu diesem Thema: Fefe #1 und Fefe #2.



Anmerkungen:
1) Zitat: "konnte die Finanzverwaltung unter anderem aufgrund der Blockade die Gehälter für das Personal nicht in gewohnter Form auszahlen." (Quelle: Cyberangriff: TU Berlin rechnet mit monatelangen IT-Einschränkungen