Geleakter Chatverlauf zeigt, wie eine Ransomware-Erpressung bei Firmen abläuft
Die Zahl der Cyberattacken auf deutsche Unternehmen hat in den vergangenen Jahren stetig zugenommen. Allein 2018 und 2019 sollen Schäden in der Höhe von 10,5 Milliarden Euro entstanden sein. Wie eine Erpressung via Ransomware – eine der häufigsten Angriffsmethoden – abläuft, zeigt jetzt ein geleaktes Chatprotokoll, das BR Recherche und dem ARD-Wirtschaftsmagazin Plusminus vorliegt.
Bei einem Ransomware-Angriff versuchen Cyberkriminelle, eine Schadsoftware auf einem Computer oder einem Firmennetzwerk zu installieren. Diese verschlüsselt dann die dort enthaltenen Daten, die nur gegen Zahlung eines Lösegelds wieder freigegeben werden. Im vorliegenden Fall soll der Kupferhersteller KME aus Osnabrück ins Visier von Hackern geraten sein. Im August hatte das Unternehmen mitgeteilt, dass ein „schwerer Cyberangriff“ die Produktion einschränke. Ein Rückgriff auf Daten von File-Servern sei nicht mehr möglich gewesen.
Chatverlauf zeigt, wie Ransomware-Hacker ticken
KME informierte Polizei und Staatsanwaltschaft und engagierte einen Verhandlungsführer, um die Hacker zu kontaktieren. Diese hatten in einer „Read me“-Datei auf den Rechnern der Firma Anweisungen hinterlegt. Einen Blick hinter die Fassaden der Denkweise der Cyberkriminellen ermöglicht etwa die Anmerkung: „Das ist für uns nur ein Geschäft. Wir haben absolut kein Interesse an euch, wir wollen nur profitieren.“ Außerdem solle die Firma froh sein, von ihnen gehackt worden zu sein – und nicht von der Konkurrenz. Bei den Hackern soll es sich um eine Gruppe namens Sodinokibi handeln.
Zunächst belief sich deren Lösegeldforderung auf 7,5 Millionen US-Dollar. Auf die Bitte des Verhandlungsführers von KME, doch bitte die Belastungen durch die Coronakrise zu beachten und den Preis zu senken, hieß es, dass Covid-19 schon eingepreist sei. Man verhandle jeden Tag mit vielen Firmen Deals, so die Hacker. Beigelegt wurden zudem eine Unternehmensbilanz und die Versicherungspolice des Unternehmens – wohl vor allem, um zu zeigen, dass genug Geld da sei und die Hacker Zugriff auf die Systeme haben.
Lösegeld in Monero überwiesen
Ein Appell an das Gewissen – mit Verweis auf den Verlust von Arbeitsplätzen – ließ die Hacker kalt. Stattdessen zogen sie die Daumenschrauben noch einmal an und drohten damit, entwendete Daten zu leaken. Der Hinweis, dass KME „maximal 750.000“ zahlen könne, ließ die Cyberkriminellen aber offenbar hellhörig werden. Ein Lösegeld schien in Reichweite. Schließlich einigte man sich auf die Zahlung von 1,27 Millionen Euro, die in Monero überwiesen wurden.
Damit brach KME die oberste Regel von Sicherheitsbehörden, die lautet: „Bloß nicht zahlen!“ Schließlich ist nicht sicher, dass die Hacker nach Eingang der Zahlung die Daten auch wirklich wieder freigeben. KME hatte aber offenbar Glück, wie tagesschau.de schreibt. Der Konzern konnte seine Daten entschlüsseln. Zum Dank erklärten die Hacker auch noch, wie sie in das Firmennetzwerk eindringen konnten. Dazu hatten sie Login-Daten erworben und das Passwort eines Admins erraten. Tipps, wie sich der Konzern besser schützen könne, gab es dann auch noch obendrauf.