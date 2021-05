Bei dem Ransomware-Angriff auf die IT-Systeme der irischen Gesundheitsverwaltung HSE soll der Erpressungstrojaner Conti zum Einsatz gekommen sein. Der Angriff sei über eine "Zero-Day-Lücke mit einer brandneuen Variante der Ramsomware Conti" geführt worden, sagte HSE-Operativchefin Anne O'Connor gegenüber irischen Medien. Hinter der Attacke soll eine russische Gruppe stehen, die ein hohes Lösegeld für die Freigabe erbeuteter Daten fordert. Unterdessen hat das irische Gesundheitssystem weiter mit den Folgen des Angriffs zu kämpfen.

Die Attacke war in den frühen Morgenstunden des vergangenen Freitags entdeckt worden. HSE hatte dann sofort damit begonnen, rund 85.000 Computer und 2000 verschiedene Systeme herunterzufahren. Das hat schwerwiegende Auswirkungen auf die Gesundheitsversorgung der Iren. Insbesondere in der Radiologie und bei der Versorgung von Kindern und Schwangeren sind Termine ausgefallen. Krankenhäuser, die nicht direkt an die Systeme der HSE angeschlossen sind, sind weniger stark betroffen.

Gezielte Attacke

Offiziellen Angaben zufolge wurde der Angriff mit der Ransomware Conti ausgeführt, der eine Weiterentwicklung von Ryuk ist. Angriffe mit Conti sind in der Regel nicht hochautomatisiert, sondern werden von den Tätern gesteuert. Sie erkunden die angegriffenen Systeme, installieren die Ransomware auf den Rechnern und suchen nach interessanten Daten, die sie dann unbemerkt herunterladen. Das kann mehrere Tage dauern, bis sie dann die eigentliche Ransomware auslösen, die den Zugriff auf die befallenen Rechner sperrt.

In den sozialen Medien kursieren angebliche Ausschnitte der Kommunikation zwischen Mitarbeitern der HSE und den Angreifern, deren Echtheit aber nicht bestätigt ist. Demnach geben die Erpresser an, sich etwa zwei Wochen unbemerkt in den Systemen der HSE aufgehalten und dabei rund 700 GByte an sensiblen Daten erbeutet zu haben. Angeblich fordern die Täter ein Lösegeld von 20 Millionen US-Dollar in Bitcoin. Die irischen Behörden bestätigen das nicht. Regierungsvertreter und die HSE-Führung haben zudem betont, dass kein Lösegeld gezahlt wird.

Russische Zauberspinne

Hinter dem Angriff steckt nach bisherigen Erkenntnissen die russische Gruppe "Wizard Spider", die mit den Splittergruppen "Grim Spider" und "Lunar Spider" verwandt ist. Die Gruppe war zunächst um das Jahr 2014 mit der Malware "Dyre" aufgefallen und wurde später für Angriffe mit dem Banking-Trojaner "Trickbot" verantwortlich gemacht. Nach Erkenntnissen von Ermittlern soll die im Raum Sankt Petersburg angesiedelte Tätergruppe rund 80 Mitglieder stark sein.

Inzwischen wurde Trickbot zu einem vielseitigen Angriffswerkzeug ausgebaut, das zum Beispiel dafür eingesetzt wird, das angegriffene Netz weiter auszuforschen und Zugangsdaten abzugreifen. Mit Trickbot hat "Wizard Spider" auch ihr Geschäftsmodell erweitert und sich dem "Big Game Hunting" zugewendet, der "Großwildjagd" auf besonders lukrative Ziele.

Die Gruppe wird unter anderem für die jüngsten Ransomware-Angriffe auf die britische Modekette "Fat Face" und die schottische Umweltschutzbehörde verantwortlich gemacht. Die Scottish Environment Protection Agency (SEPA) war im Dezember 2020 angegriffen worden. Die Täter hatten erbeutete Daten danach im Dark Web veröffentlicht, um den Druck zu erhöhen. SEPA weigerte sich dennoch, zu zahlen. Fat Face hat nach einem Angriff im Januar ein Lösegeld von umgerechnet knapp 1,7 Millionen Euro bezahlt.

