Cybercrime: Erpresser geben Irland Entschlüsselungswerkzeug ohne Lösegeld

Nach Ransomware-Attacke auf das irische Gesundheitssystem schenkten die Angreifer der Regierung die Freischaltcodes, drohen aber mit Veröffentlichen der Daten.

Lesezeit: 4 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 51 Beiträge

(Bild: aslysun/Shutterstock.com)

Von
  • Stefan Krempl

Überraschende Wende im irischen Cyber-Erpressungsfall: Die Angreifer auf die Gesundheitsverwaltung HSE haben der Regierung in Dublin das Werkzeug übergeben, mit dem bei der Attacke verschlüsselte Daten wiederhergestellt werden können. Ein Lösegeld sei dafür nicht gezahlt worden, betonte Irlands Gesundheitsminister Stephen Donnelly gegenüber dem irischen Sender RTE. Weder die Regierung direkt sei den Erpressern entgegengekommen, noch sei ein Deal "über eine dritte Partei oder auf andere Weise" abgewickelt worden. Einen künftigen Freikauf werde es ebenfalls nicht geben.

Die für den "katastrophalen Hack" verantwortlich gemachte Cybercrime-Bande Conti fordert laut im Internet kursierenden, bisher unbestätigten Chatprotokollen zufolge 20 Millionen US-Dollar Lösegeld. Auf ihrer Darknet-Seite teilten die Täter der HSE nun mit, dass "wir das Entschlüsselungstool für Ihr Netzwerk kostenlos zur Verfügung stellen". Zugleich drohten sie weiterhin: "Aber Sie sollten verstehen, dass wir eine Menge privater Daten verkaufen oder veröffentlichen werden, wenn Sie sich nicht mit uns in Verbindung setzen und versuchen, die Situation zu lösen."

Es sei unklar, warum die Angreifer die Entschlüsselungslösung kostenlos zur Verfügung stellten, erklärte Donnelly. Die Attacke auf die HSE sowie ein paralleler, allerdings fehlgeschlagener Angriff auf das irisches Gesundheitsministerium tragen nach bisherigen Erkenntnissen die Handschrift der russischen Cybercrime-Gruppe "Wizard Spider".

Andere in Russland verortete Online-Erpresserbanden wie DarkSide und REvil erklärten nach der Cyberattacke auf den Betreiber der Colonial Pipeline in den USA vorige Woche, keine Organisationen im "sozialen Bereich" wie Gesundheits- und Bildungseinrichtungen sowie generell keine Infrastrukturen der öffentlichen Verwaltung eines Landes mehr angreifen zu wollen. US-Präsident Joe Biden hatte zuvor "entscheidende Schritte" gegen die beteiligten Ransomware-Netzwerke angedroht.

Der irische Premierminister Micheál Martin begrüßte am Freitag die Freigabe der für die Datenentschlüsselung benötigten Software. Es sei aber noch enorme Arbeit nötig, um das weitgehend heruntergefahrene Gesundheitssystem wieder zum Laufen zu bringen. Die Gefahr, dass möglicherweise abgegriffene sensible Patientendaten veröffentlicht würden, bestehe zwar weiterhin, räumte der Taoiseach (irischer Premierminister) ein. Er verwies aber darauf, dass die HSE vor dem Obersten Gericht des Landes, dem High Court, eine einstweilige Verfügung erwirkt habe: Damit mache sich strafbar, wer illegal erlangte oder aus der Gesundheitsverwaltung gestohlene Daten publiziere.

Der hauptsächliche Zweck des Gerichtsbeschlusses besteht darin, Internetfirmen mit Upload-Plattformen wie Google, Facebook und Twitter auf das gesetzliche Verbot der Weitergabe und Veröffentlichung einschlägiger Informationen hinzuweisen. Martin lobte die bisherige Kooperation mit Social-Media-Unternehmen rund um den Angriff und deren Bereitschaft, "versehentlich" publizierte Daten aus HSE-Systemen unverzüglich zu löschen. Gegenüber Darknet-Foren dürfte die Verfügung indes weitgehend wirkungslos sein, da deren Betreiber kaum zu fassen sind.

HSE-Chef Paul Reid unterstrich auf Twitter, dass die IT-Systeme der Gesundheitsverwaltung auch mit den Freischaltcodes nicht einfach mit einem Klick wieder angeschaltet werden könnten. Man arbeite – nach dem Einspielen von Backups – weiter daran, Dienste und Datenbanken "sicher wiederherzustellen". Dabei prüfe die Behörde, welche konkreten Auswirkungen die Entschlüsselungssoftware habe. Er rechne damit, dass die Folgen der Attacke noch einige Wochen lang spürbar seien.

In den USA warnte das FBI parallel vor Conti. Es habe dort bereits mindestens 16 Angriffe mit dem Verschlüsselungstrojaner ausgemacht, die auf Netzwerke im Bereich des Gesundheitswesens und der Blaulichtbehörden abzielten. Weltweit hätten die Erpresser mehr als 400 Organisationen attackiert, davon über 290 in den USA. Laut der Polizeibehörde betrugen allein die jüngsten Lösegeldforderungen der Gang bis zu 25 Millionen US-Dollar.

Experten der IT-Sicherheitsfirma Sophos schilderten eine von ihnen verfolgte Conti-Attacke jüngst als sehr schnell und potenziell verheerend. Die forensische Analyse habe ergeben, "dass die Angreifer Lücken in der Firewall ausnutzten, um in nur 16 Minuten das Netzwerk zu kompromittieren und Zugriff auf die Domain-Administrationsdaten zu erhalten". Danach würden "Cobalt Strike Agents" auf den Windows-Servern eingesetzt, die das Rückgrat der Ransomware-Attacke bilden sollten. Das Besondere daran sei, dass die Cyber-Kriminellen alles eigenhändig steuerten und sich nicht auf eine automatisierte Routine verließen.

(bme)