Geleakter Chatverlauf zeigt, wie eine Ransomware-Erpressung bei Firmen abläuft
Die Zahl der Cyberattacken auf deutsche Unternehmen hat in den vergangenen Jahren stetig zugenommen. Allein 2018 und 2019 sollen Schäden in der Höhe von 10,5 Milliarden Euro entstanden sein. Wie eine Erpressung via Ransomware – eine der häufigsten Angriffsmethoden – abläuft, zeigt jetzt ein geleaktes Chatprotokoll, das BR Recherche und dem ARD-Wirtschaftsmagazin Plusminus vorliegt.
Bei einem Ransomware-Angriff versuchen Cyberkriminelle, eine Schadsoftware auf einem Computer oder einem Firmennetzwerk zu installieren. Diese verschlüsselt dann die dort enthaltenen Daten, die nur gegen Zahlung eines Lösegelds wieder freigegeben werden. Im vorliegenden Fall soll der Kupferhersteller KME aus Osnabrück ins Visier von Hackern geraten sein. Im August hatte das Unternehmen mitgeteilt, dass ein „schwerer Cyberangriff“ die Produktion einschränke. Ein Rückgriff auf Daten von File-Servern sei nicht mehr möglich gewesen.
Chatverlauf zeigt, wie Ransomware-Hacker ticken
KME informierte Polizei und Staatsanwaltschaft und engagierte einen Verhandlungsführer, um die Hacker zu kontaktieren. Diese hatten in einer „Read me“-Datei auf den Rechnern der Firma Anweisungen hinterlegt. Einen Blick hinter die Fassaden der Denkweise der Cyberkriminellen ermöglicht etwa die Anmerkung: „Das ist für uns nur ein Geschäft. Wir haben absolut kein Interesse an euch, wir wollen nur profitieren.“ Außerdem solle die Firma froh sein, von ihnen gehackt worden zu sein – und nicht von der Konkurrenz. Bei den Hackern soll es sich um eine Gruppe namens Sodinokibi handeln.
Zunächst belief sich deren Lösegeldforderung auf 7,5 Millionen US-Dollar. Auf die Bitte des Verhandlungsführers von KME, doch bitte die Belastungen durch die Coronakrise zu beachten und den Preis zu senken, hieß es, dass Covid-19 schon eingepreist sei. Man verhandle jeden Tag mit vielen Firmen Deals, so die Hacker. Beigelegt wurden zudem eine Unternehmensbilanz und die Versicherungspolice des Unternehmens – wohl vor allem, um zu zeigen, dass genug Geld da sei und die Hacker Zugriff auf die Systeme haben.
Lösegeld in Monero überwiesen
Ein Appell an das Gewissen – mit Verweis auf den Verlust von Arbeitsplätzen – ließ die Hacker kalt. Stattdessen zogen sie die Daumenschrauben noch einmal an und drohten damit, entwendete Daten zu leaken. Der Hinweis, dass KME „maximal 750.000“ zahlen könne, ließ die Cyberkriminellen aber offenbar hellhörig werden. Ein Lösegeld schien in Reichweite. Schließlich einigte man sich auf die Zahlung von 1,27 Millionen Euro, die in Monero überwiesen wurden.
Damit brach KME die oberste Regel von Sicherheitsbehörden, die lautet: „Bloß nicht zahlen!“ Schließlich ist nicht sicher, dass die Hacker nach Eingang der Zahlung die Daten auch wirklich wieder freigeben. KME hatte aber offenbar Glück, wie tagesschau.de schreibt. Der Konzern konnte seine Daten entschlüsseln. Zum Dank erklärten die Hacker auch noch, wie sie in das Firmennetzwerk eindringen konnten. Dazu hatten sie Login-Daten erworben und das Passwort eines Admins erraten. Tipps, wie sich der Konzern besser schützen könne, gab es dann auch noch obendrauf.
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team