Veröffentlicht am von Christian Dietrich und Lars Wallenborn

#3 Erpressung der Uniklinik Düsseldorf

Im September 2020 erleidet eine Frau ein Aneurysma und muss ins Krankenhaus gebracht werden. Zu diesem Zeitpunkt ist die Uniklinik Düsseldorf allerdings von der Notaufnahme abgemeldet, da eine Ransomware (ein Verschlüsselungstrojaner) zugeschlagen hat und die IT nicht benutzt werden können. In dieser Folge beleuchten wir das Bedrohungsfeld durch Ransomware als eine Form der organisierten Kriminalität.

Shownotes

Transkript anzeigen…

00:00:31-2 Christian Dietrich: Hallo liebe Cyberfreunde. Mein Name ist Chris, und ich bin Informatikprofessor an der westfälischen Hochschule.

00:00:36-4 Lars Wallenborn: Hallo, und ich bin Lars. Ich arbeite als Reverse Engineer und Softwareentwickler bei CrowdStrike.

00:00:42-3 Christian Dietrich: Wir wollen uns heute mit einem ziemlich interessanten Ransomware Vorfall beschäftigen, der sich in Deutschland ereignet hat. Und zwar beginnt die Geschichte am 11. September 2020. Da erleidet eine 78-jährige Patientin ein Aortenaneurysma, und sie muss eben schnellstmöglich von einem Rettungswagen abgeholt und in ein Krankenhaus gebracht werden. Und das soll an der Stelle eben das Universitätsklinikum Düsseldorf sein, kurz UKD. Aber das UKD hat sich von der Notaufnahme abgemeldet. Der Hintergrund an der Stelle ist, dass das UKD mit einer Schadsoftware infiziert ist und IT-Ausfälle erlebt, so dass eben die Notaufnahme komplett geschlossen werden musste. Der Rettungswagen musste daher in ein Krankenhaus nach Wuppertal umgeleitet werden – das ist so circa 30 Kilometer entfernt – und dementsprechend auch eine etwas längere Fahrtzeit auf sich nehmen.

00:01:35-4 Lars Wallenborn: An der Stelle würde ich direkt vielleicht anfangen mal aufzuschlüsseln, was wir überhaupt meinen, wenn wir Ransomware sagen. Der Begriff ist schon zweimal gefallen oder so. Dabei handelt es sich um Malware oder Schadsoftware auf deutsch, die etwas besonders ist in dem Sinne, wie sie ihren Betreibern ermöglicht, Geld zu verdienen. Und zwar läuft das genau so wie bei klassischer Erpressung. Der Erpresser nimmt sich etwas und will dann Geld dafür, dass er oder sie es wieder rausgibt. Und das läuft so, dass diese Ransomware die Daten verschlüsselt und den Schlüssel, um die Daten zu entschlüsseln, den gibt es nur wenn man bezahlt. Das ist halt bei Verschlüsselungsverfahren immer so – oder im Idealfall so – dass man den Schlüssel wirklich braucht, um die Daten halt auch zu entschlüsseln. Und ja, dieses Geld wird dann meistens in Kryptowährungen – Bitcoin oder so – überwiesen und bezahlt. Dann erhält das Opfer der Ransomware den Schlüssel, und kann dann im Idealfall die Daten wieder entschlüsseln und hat dann wieder Zugriff darauf.

00:02:31-6 Christian Dietrich: Wenn wir jetzt von Ransomware als einer Art von Schadsoftware sprechen, dann können wir das vielleicht so ein bisschen mal an den drei wichtigsten Dimensionen oder Facetten von Malware festmachen und aufhängen. Ich würde sagen, es gibt drei Dimensionen: Nämlich einmal die sogenannte Monetarisierung, also wie wird eine Infektion quasi zu Geld gemacht?

00:02:54-0 Lars Wallenborn: Ja, oder im weitesten Sinne zu Wert, nicht wahr?

00:02:56-0 Christian Dietrich: Genau, oder im weitesten Sinne zu Wert. Wenn wir jetzt an finanziell motivierte Akteure denken, dann wäre es eben Monetarisierung, also zu Geld machen. Wenn wir an gezielte Angriffe oder Spionage denken, dann wären es vielleicht so was wie die Capabilities. Die zweite Dimension ist Command and Control. Das heißt, die Frage: Wie wird eine Malware eigentlich ferngesteuert? Wird sie überhaupt ferngesteuert?Und wenn ja, dann funktioniert das beispielsweise über bestimmte Netzwerkprotokolle. Zum Beispiel irgendwie über http, mit einer eigenen Verschlüsselung, oder irgendwie über DNS oder so was. Da gibt es ja ziemlich abgefahrene Varianten. Und die dritte Dimension ist vielleicht so das Spreading. Also die Art und Weise, wie sich Malware verbreitet, und zwar insbesondere eben autonom verbreitet. Ein Beispiel wäre da WannaCry, eine Schadsoftware, die sich 2017 eben tatsächlich autonom –  also selbständig – verbreitet hat, indem sie versucht hat, verwundbare Rechner zu finden, und die dann infiziert hat.

00:03:50-0 Lars Wallenborn: Und in diesem konkreten Fall, wenn wir über Ransomware reden, reden wir dann jetzt über Monetarisierung. Und die Monetarisierung für diese Ransomware läuft halt so, dass Daten verschlüsselt werden und den Schlüssel gibt es nur für Geld wieder. Und vielleicht noch etwas anderes. Es gibt noch ein Konzept, das nennt sich die Cyber Kill Chain. Das wurde vor vielen Jahren mal entwickelt, über so ein Whitepaper, und diese Malware Facetten sind völlig unabhängig von dem, was die Cyber Kill Chain ist. Wir wollen jetzt da vielleicht noch nicht so viel drüber verlieren, also wir packen was in die Shownotes, dann könnt ihr euch das mal angucken, wenn ihr wollt. Aber ich würde sagen, die Cyber Kill Chain, die behandelt den eigentlichen Angriff, die eigentliche Intrusion, und diese Malware Facetten sind wirklich sehr fokussiert auf die Malware, auf die Schadsoftware, die da eingesetzt wird während so einem Angriff.

00:04:32-5 Christian Dietrich: Vielleicht kommen wir nochmal auf den UKD Fall zurück. Wir haben so ein bisschen jetzt skizziert, in welcher Situation die Patientin ist und der Rettungswagen. Aber eine entscheidende Frage ist ja, wie kam die Ransomware überhaupt ins UKD? Und damit betreten wir jetzt so vielleicht den zweiten von insgesamt fünf Teilen, in die wir diese Folge jetzt aufteilen. Am 10. September 2020, um drei Uhr morgens, wurde die Ransomware aufgespielt. Und man muss sich vorstellen, selbst zehn Tage später, also am 20. September, funktionierte im Prinzip immer noch nichts wieder. Das zeigt also so ein bisschen die Dimension, die dieser Ransomware Vorfall eben im UKD ausgelöst hat.

00:05:11-5 Lars Wallenborn: Und um so ein bisschen besser aufzuschlüsseln, wie diese Ransomware jetzt in dieses Krankenhaus kommt, wird es auf jeden Fall helfen, mal kurz zu thematisieren, was es für eine Ransomware ist. Und Malware-Familien, genauso wie Akteure – haben wir ja in der letzten Folge besprochen – bekommen meistens lustige Namen, die sich irgendjemand ausgedacht hat. Manchmal denken sich die Entwickler den aus, manchmal denken die Leute sich den Namen aus, die die Ransomware analysieren. Und diese Ransomware hier, die nennt sich DoppelPaymer. Und über DoppelPaymer, die Ransomware, und auch die Akteure die dahinter stecken, da ist sehr viel bekannt. Da werden wir auch einen Blogpost von CrowdStrike – full Discloser hier – in den Shownotes verlinken.

00:05:47-2 Christian Dietrich: Es lassen sich Spuren finden, die diese Akteure mit Aktivitäten in Verbindung bringen, die bis in das Jahr 2014 zurück reichen. Über diese Spuren ist es nach wie vor so, dass diese Akteure immer mit finanziell motivierten Cybercrime Aktionen in Verbindung gebracht wurden. Das heißt, wir haben es hier vermutlich mit einer Gruppe zu tun, die eben über viele Jahre hinweg finanziell motivierte Cybercrime Aktionen durchgeführt hat.

00:06:15-2 Lars Wallenborn: Ja, und hier ist es wahrscheinlich sogar noch ein bisschen komplizierter. Man kann bei Malware auch so von Familienstammbäumen reden, sowie bei Menschen oder bei Viren auch. Ich gehe da jetzt einfach mal ins Detail, auch wenn es ein bisschen verwirrend ist. Es gab ursprünglich eine Ransomware, die hieß BitPaymer.  Ja, das war halt auch eine Ransomware – das gleiche Geschäftsmodell, wie das, was wir gerade beschrieben haben. Und  die wurde betrieben von einem Akteur, von einer Gruppe, und es ist sehr plausibel, dass sich von dieser Gruppe eine Teilgruppe abgespalten hat, und Teile der BitPaymer Ransomware mitgenommen haben, und die ein bisschen verändert haben und dann die DoppelPaymer Ransomware daraus gemacht haben. Und diese Veränderungen, die sind schon sehr groß. Also die haben da was an der Verschlüsselung verändert und wie Dateien umbenannt werden auf der Festplatte, und so weiter. Aber es gibt halt im Code – wenn man die Malware analysiert, Reverse Engineering und so – dann kann man sehr große Überschneidungen zwischen den beiden Familien, zwischen der DoppelPaymer Ransomware und der BitPaymer Ransomware, feststellen. Und dann, in so einem Fall, redet man davon, dass diese beiden Malware-Familien verwandt sind. Jetzt in dem Fall ist die BitPaymer Ransomware quasi die Elternfamilie von der DoppelPaymer Ransomware.

00:07:29-8 Christian Dietrich: Jetzt ist die DoppelPaymer Ransomware-Familie ja schon ein paar mal eingesetzt worden – wissen wir etwas über die vorherigen Lösegeldforderungen, die da so gesehen wurden, Lars?

00:07:38-6 Lars Wallenborn: Ja genau. Das ist auch in dem Blogpost öffentlich dokumentiert. Also die haben in einigen Fällen…also es sind ein paar Fälle bekannt, unter anderem einer, wo bis zu 100 Bitcoin gefordert wurden. Die hatten damals einen Marktwert von 1,2 Millionen US Dollar. Und es gibt auch Fälle, wo weniger gefordert wurde, so zwei Bitcoin, das sind dann 25.000 Dollar. Und darauf kommen wir aber gleich noch mal zurück, warum diese Forderungen überhaupt so verschieden groß ausfallen können.

00:08:05-1 Christian Dietrich: Und das ist vielleicht ein erstes Indiz, dass wir es hier mit einer Form von organisierten Akteuren, organisierten Gruppen zu tun haben. Versuchen wir uns nochmal in die Lage zu versetzen: Also das UKD ist infiziert. Wir wissen jetzt, wie die Ransomware in das Universitätsklinikum kam, aber wir wissen noch nicht, wann denn eigentlich die initiale Infektion erfolgt ist. Also wann hat sozusagen der Akteur das erste Mal die Kontrolle über einen Rechner im UKD gehabt? Nach allem, was öffentlich bekannt ist, ist das über eine Schwachstelle im Citrix VPN Server passiert, eine recht bekannte Schwachstelle, weil sie eben sehr weit verbreitet war – die sogenannte ‚Shitrix‘ Schwachstelle. Der genaue Zeitpunkt ist unklar, allerdings wurde diese Schwachstelle im Dezember 2019 bekannt und wohl auch in der Zeit häufig für Infektionen genutzt. Das bedeutet jetzt, möglicherweise hatte der Akteur bereits neun Monate lang Zugriff auf die Zielumgebung, nämlich von Dezember 2019 bis September 2020, bevor die Monetarisierung in Form der Ransomware begann.

00:09:15-0 Lars Wallenborn: Da möchte ich noch ein bisschen mehr reinbohren und ins Detail gehen. Also du hast jetzt gesagt, der Akteur hatte schon so lange Zugriff. Das führt jetzt natürlich zu der philosophischen Debatte: Was ist ein Akteur? Was ist ein Angriff? Aber es könnte ja auch sein, dass das einfach jemand anders war. Und das sieht man im Cybercrime Bereich ja sehr häufig, so Arbeitsteilung einfach. Also es gibt da einmal Akteure, die scannen das Internet nach unsicheren Citrix VPN Servern. Und dann gibt es eine andere Gruppe, die exploiten dann diese Sicherheitslücken, die nutzen die dann aus, auf deutsch. Und dann haben die Zugriff auf solche Systeme und dann wird dieser Zugriff an andere Leute weitergegeben, also weiterverkauft natürlich – es geht hier meistens um Geld. Und die führen dann erst die Ransomware Operationen durch. Also eine Ransomware Operation, da hängt viel dran. Da muss man gucken wie man das Lösegeld nachher zu nutzbarem Geld umwandelt, also irgendwie wäscht. Dann muss man gucken, dass die Ransomware funktioniert und dass bei der Lösegeldverhandlung auch genug bei rum kommt. Und dass dann, wenn das Lösegeld bezahlt wurde, auch die Daten wieder da sind, und so weiter. Also das ist super viel Arbeit, deswegen ist es auch sehr verbreitet, dass da mehr als eine Gruppe dran beteiligt ist. Also eine schafft den Zugriff und eine andere Gruppe führt dann den eigentlichen Angriff aus.

00:10:25-7 Christian Dietrich: Und damit haben wir auf jeden Fall die drei definitorischen Merkmale von organisierter Kriminalität erfüllt. Die sind nämlich eben das planmäßige Begehen von Straftaten – das ist hier auf jeden Fall erfüllt, weil eben diese Gruppe mehrfach mit der gleichen Ransomware irgendwie aktiv geworden ist – und diese Straftaten müssen eben einzeln oder in ihrer Gesamtheit von erheblicher Bedeutung sein. Das ist, glaube ich, in Anbetracht der Lösegeldforderung auf jeden Fall erfüllt, oder auch der Schäden – wenn also so ein Krankenhaus so über zehn Tage lang still steht – und wenn eben mehr als zwei Beteiligte auf längere oder unbestimmte Dauer arbeitsteilig zusammen wirken. Und diese Arbeitsteilung hast du ja gerade nochmal so ein bisschen dargelegt.

00:11:05-9 Lars Wallenborn: So, jetzt haben wir sehr viel über das Geld geredet und den Schaden, der da verursacht wurde. Aber wir haben ja eigentlich angefangen mit der Patientin, die da nach Wuppertal umgeleitet werden musste, in eine andere Uniklinik. Weil das eigentlich Schlimme ist – und das führt uns jetzt zu unserem dritten Teil hier über – dass diese Patientin dann, in diesem Krankenhaus in Wuppertal gestorben ist. Das legt natürlich nahe, das werden wir gleich noch ein bisschen genauer diskutieren, dass diese Ransomware, die dafür gesorgt hat, dass die UKD keine Notaufnahme mehr zur Verfügung hatte, dafür gesorgt hat, dass die Patientin umgeleitet wurde. Das hat dann ein bisschen länger gedauert und dann ist sie gestorben. Also da besteht auf jeden Fall schon einmal ein zeitlicher Zusammenhang zwischen dem Ransomware Angriff und dem Tod von einem Menschen.

00:11:48-6 Christian Dietrich: Jetzt ist es ja so: Ein zeitlicher Zusammenhang bedeutet nicht unbedingt auch Kausalität. Ganz konkret die Frage der Kausalität wäre eben: Hat die Cyber Intrusion hier zum Todesfall geführt? Und das ist eine interessante Frage, die sich eben gar nicht so einfach beantworten lässt. Ich glaube, wenn wir hier mal versuchen, so ein bisschen die Perspektive der Ermittler einzunehmen, dann haben wir hier eine Möglichkeit Ermittlungstaktik anzuwenden im Umgang mit diesem Vorfall. Denn immer dann, wenn möglicherweise ein Tötungsdelikt vorliegt, haben wir sicherlich ganz andere Ermittlungsansätze. Also wir kennen das, man hat sehr viel mehr Personal zur Verfügung, ja, wir stellen so was wie Kommissionen zusammen und wir haben sicherlich auch technisch andere Ermittlungsansätze über Auskünfte. Und ich glaube, man könnte das an der Stelle möglicherweise auch nutzen, um das den Tätern – sofern man denn in irgendeiner Form mit diesen Akteuren da kommunizieren kann – zu vermitteln. Ja, also zu sagen: „Pass mal auf, hier rollt gerade eine riesen Ermittlung an, denn hier gibt es möglicherweise ein Tötungsdelikt, was in direktem Zusammenhang steht.“ Aber dafür muss man jetzt eben erst mal versuchen, diese Frage zu klären, ob es denn überhaupt eine Kausalität gibt.

00:12:54-9 Lars Wallenborn: Na ja, und die Staatsanwaltschaft in Wuppertal hat dann zumindest die Frage, ob man ein Verfahren starten sollte, mit ‚Ja‘ beantwortet, und hat dieses Ermittlungsverfahren dann irgendwie an die Staatsanwaltschaft in Köln weiter gegeben. Die haben da so eine zentrale Anlaufstelle für Cyber Kriminalität und die haben dieses Verfahren dann übernommen. Und aus Sicht des Verbrechers ist das natürlich, wenn die das dann gesagt bekommen, oder irgendwie sonst mitbekommen über Zeitungen oder so, ist das natürlich katastrophal. Also einfach gesagt, wenn ich Krimineller bin, dann will ich nicht in der Zeitung stehen. Wenn ich in der Zeitung stehe, dann werde ich schneller gefasst. Da würde ich jetzt gerne noch auf eine Kleinigkeit eingehen. Nämlich, es gibt andere Ransomware Operationen, die stehen in der Zeitung. Da geben sogar die Leute, die dahinter stehen, Interviews, natürlich anonyme und so. Bei denen ist aber das, ich sage mal, das Geschäftsmodell ein ganz anderes. Also da kommt mir zum Beispiel die REvil Ransomware in den Kopf, das ist eine Ransomware, die wird seit 2019 betrieben. Und das ist nicht nur eine Ransomware, sondern etwas, das nennt man in Fachkreisen auch Ransomware as a service. Und die bieten die Dienstleistung an für andere Kriminelle, den schweren Teil von Ransomware für die zu übernehmen. Und in so einem Fall will man natürlich in der Öffentlichkeit stehen, damit man Kunden hat. Und die Kunden sind zwar jetzt auch Kriminelle, aber die  – ja, ich weiß gar nicht worauf die alles so achten –  aber ich denke mal so Street Crab gehört irgendwie dazu, und wenn da jemand große Interviews gibt, und damit prahlt, wie fähig sie sind und so, dann ist das wahrscheinlich gut fürs Geschäft.

00:14:26-5 Christian Dietrich: Das heißt, wir können hier so zwei Ransomware Familien und die dahinter liegenden Akteure mal so ein bisschen kontrastieren. Wir haben also auf der einen Seite DoppelPaymer, die eher nicht unbedingt in den Fokus der Öffentlichkeit geraten wollen, und auf der anderen Seite haben wir so was wie REvil, was du eben erwähnt hast. Also wo ein Akteur, der ein anderes Geschäftsmodell fährt, nämlich Ransomware as a service, durchaus nichts dagegen hat wenn er öffentlich irgendwie beschrieben wird, weil er sich davon verspricht, seine Marke zu etablieren.

00:14:53-8 Lars Wallenborn: Führt jetzt auch zu einer guten Frage, Chris: Wenn ich so eine Ransomware, wenn ich da irgendwie Geld bezahle, wie kann ich dann überhaupt sicher sein, dass ich auch den Schlüssel bekomme?

00:15:03-0 Christian Dietrich: Ja, ganz einfach. Kann man nicht. Man kann sich nicht sicher sein. Also es gibt überhaupt keine Garantie, dass man den Schlüssel bekommt, nachdem man das Lösegeld gezahlt hat. Und in der Folge wird natürlich auch häufig dazu geraten, eben natürlich nicht das Lösegeld zu zahlen.

00:15:16-6 Lars Wallenborn: Na ja, aber wenn ich das Lösegeld nicht bezahle, dann kriege ich meine Daten nicht wieder. Das ist eventuell katastrophal für meine Firma. Und deswegen müssen sich solche Akteure, die mit Ransomware ihr Geld verdienen, trotzdem so eine Art Ruf erarbeiten, in dem halt schon klar ist, dass man zumindest manchmal den Schlüssel wieder bekommt. Eigentlich sollte der Ruf natürlich sein, man kriegt den Schlüssel immer wieder. Aber eine Ransomware, wo man nie den Schlüssel bekommt, wenn man bezahlt, da werden da nicht nur Idealisten sagen: „Bezahlt die nicht.“, sondern da wird das jeder sagen. Weil man kriegt den Schlüssel eh nicht. Aber was ist hier passiert?

00:15:48-7 Christian Dietrich: Ja, und jetzt hier in dem Fall des UKD ist was völlig unerwartetes passiert, der Akteur hat nämlich den Schlüssel tatsächlich freiwillig heraus gegeben. Vielleicht der Vollständigkeit halber: Wir haben eben ein Ermittlungsverfahren erwähnt. Die Staatsanwaltschaft Köln hat eben keine Kausalität festgestellt zwischenzeitlich. Da fand also eine Obduktion statt. Und deswegen wurde das Verfahren zur fahrlässigen Tötung gegen Unbekannt nach etwa zwei Monaten, glaube ich, eingestellt. Und damit können wir eben vielleicht auch unsere initial gestellte Frage, nämlich genau die Frage nach der Kausalität, hier beantworten: Es ist also nicht so, dass hier diese Cyber Intrusion, ja, dieser Ransomware Angriff, in direktem Zusammenhang, in direkter Folge, diesen Todesfall zu verantworten hätte. Aber vielleicht zurück zu der Ransomware, Lars, wie viel verdienen denn die Akteure hinter solchen Ransomware Operationen denn?

00:16:42-4 Lars Wallenborn: Na ja, also in diesem Fall haben sie gar nichts verdient. Sie haben den Schlüssel ja einfach rausgegeben. Aber allgemein? Natürlich, da wird viel Geld gemacht. Und ich glaube, du hattest dir ein paar Beispiele rausgesucht.

00:16:51-8 Christian Dietrich: Und damit kommen wir in den vierten Teil dieser Folge, wo es um Lösegeld, Lösegeldverhandlungen und vielleicht auch Desinfektion gehen soll. Also es gibt so bestätigte Größenordnungen, zum Beispiel von etwa 300.000 US Dollar Lösegeld, die eine Stadtverwaltung in den USA Mitte 2020 tatsächlich auch gezahlt hat. Das heißt, jetzt könnte man sagen, Stadtverwaltung, öffentlicher Dienst –  Universitätsklinik ist vielleicht auch irgendwie öffentlicher Dienst – ja, das wäre vielleicht in irgendeiner Form vergleichbar. Natürlich schauen sich solche Akteure auch ein Stück weit um. Es gibt einen anderen Fall, das ist ein deutscher Mittelständler, der so im Metallgewerbe unterwegs ist, also ein Unternehmen. Die haben 1,27 Millionen US Dollar an Lösegeld tatsächlich bezahlt. Als weitere interessante Quelle gibt es hier ein Beratungsunternehmen – ein deutsches Beratungsunternehmen, das maßgeblich in Deutschland solche Betroffenen auch berät – da war die Aussage, dass im Jahr 2020, knapp zwanzig Verhandlungen zu Lösegeldern geführt wurden. In sechs Fällen wurde Geld gezahlt, und insgesamt belief sich die Summe auf etwa sechs Millionen Euro. Das ist jetzt mal eben eine Zahl, nur auf Deutschland bezogen, und gibt einem schon tatsächlich mal so ein bisschen ein Gefühl für die Größenordnung. Jetzt haben wir aber in jüngerer Vergangenheit auch extreme Einzelfälle erlebt, wo eben Lösegeldforderungen bis zu 10 Millionen US Dollar, in einem Fall – das ist ein taiwanischer Technologie Konzern – sogar bis zu 50 Millionen US Dollar gefordert wurden.

00:18:22-7 Lars Wallenborn: Also man kann sehen, diese Lösegeldforderungen, die decken eine riesen Spanne ab. Das fängt bei 25.000 Euro an – wahrscheinlich sogar noch weniger in noch ärmeren Ländern – und hört bei vielstelligen Millionenbeträgen irgendwo aktuell auf. Und wird wahrscheinlich auch weiter steigen. Das ist jetzt meine Einschätzung. Aber, da habe ich gerade schon was angedeutet: Ich denke, dass es für die Leute die das betreiben, eine riesen Rolle spielt, wen sie da getroffen haben, um zu entscheiden, wie viel sie dann auch überhaupt fordern.

00:18:48-6 Christian Dietrich: In dem Moment, wo man so eine Umgebung infiltriert hat als Akteur, kann man sich natürlich auch prima umschauen. Das heißt, solche Akteure können natürlich durchaus zunächst mal Informationen über die Zielumgebung sammeln und abgreifen und exfiltrieren, also raus ziehen, um sich eben genau diesen Überblick zu verschaffen. Sie können diese Informationen möglicherweise eben auch zurück halten, also Kopien davon ablegen, um vielleicht diese später zu veräußern, und so weiter. Das heißt, man ist jetzt nicht unbedingt nur in so einem ganz engen Handlungskorridor in so einem Ransomware Vorfall.

00:19:24-2 Lars Wallenborn: Das heißt also, die Leute, die diese Ransomware Operation betreiben, die können dann die Lösegeldverhandlungen auch wirklich auf ihre Ziele zuschneiden. Und diese Lösegeldverhandlungen, ich meine, wie funktioniert das dann? Das hängt von der Malware ab. Also es gibt dann entweder halt eine E-Mail Adresse, wo man Kontakt aufnehmen kann oder manchmal auch so Live Chats, die dann im Internet gehostet sind – natürlich anonym – und so weiter. Und dann muss halt jemand in der betroffenen Organisation, in dem Fall jetzt der von dem Krankenhaus, mit den Kriminellen in Verbindung treten, und diese Verhandlungen führen. Und das ist eigentlich so ein eigener Beruf. So ein bisschen wie so Verhandlungsführer bei der Polizei, in so Geiselnahme Situationen – die kennt man ja aus irgendwelchen Filmen oder so.

00:20:07-6 Christian Dietrich: Wenn wir uns jetzt noch mal in die Rolle des UKD versetzen, dann können wir uns mal fragen: Wie geht man als Verantwortlicher eigentlich damit um, wenn man jetzt den Schlüssel bekommen hat? Also wir haben ja gelernt: Der Schlüssel wurde heraus gegeben. Aber traut man den infizierten Systemen eigentlich noch? Also selbst nach der Entschlüsselung. Die Systeme sind ja eventuell eben weiterhin kompromittiert. Das halte ich für eine sehr interessante und total schwierige Frage. Es gibt hier eine gewisse Ähnlichkeit zu Backup und Restore Prozeduren. Solange man das Restore nicht getestet hat, weiß man nicht, ob einem das Backup überhaupt irgendetwas bringt. Und in dem Fall eines Ransomware Angriffs, wie hier im UKD, da hat man eben keine Systeme, an denen man ausprobieren könnte. Man hat zwar den Schlüssel und möglicherweise eine Software zum Entschlüsseln bekommen, aber von den 30 verschlüsselten Servern – welchen nehme ich denn dann, um auszuprobieren ob das funktioniert? Man will ja eben nicht riskieren, dass man im Versuch der Entschlüsselung die Daten unwiederbringlich löscht.

00:21:07-4 Lars Wallenborn: Und abgesehen davon was man macht, wenn man den Schlüssel bekommt, nämlich dann bekommt man meistens irgendwie eine weitere Software, wo man den Schlüssel dann eintragen muss. Und dann werden die Daten hoffentlich entschlüsselt, wenn alles ideal läuft, wie du gerade gesagt hast, Chris. Aber es stellt sich auch noch die Frage: Was mache ich, wenn ich den Schlüssel nicht bekomme?  Entweder weil ich nicht zahlen will oder weil ich nicht zahlen kann oder weil ich aus…

00:21:29-3 Christian Dietrich: …weil der Akteur verstummt ist.

00:21:30-9 Lars Wallenborn: …weil der Akteur verstummt ist, weil es juristisch nicht – wissen wir nicht  – gestattet ist zu bezahlen, oder all solche Sachen irgendwie. Das möchte ich jetzt einfach so ein bisschen aus beruflichen Gründen erwähnen. Also in solchen Fällen nutzt es manchmal,  die Ransomware genau zu analysieren und auch die kryptographischen Algorithmen darin zu analysieren. Weil manchmal sind da Implementierungsfehler drin. Also dann wurde der Algorithmus falsch verwendet, oder es wurde ein falscher Algorithmus verwendet. Und da gibt es auch ein paar Fälle, in denen es dann möglich war, die verschlüsselten Daten zu entschlüsseln, ohne dass der Akteur den Schlüssel rausgegeben hat. Und da gehe ich jetzt auch einfach mal ganz nerdy ins Detail: Zum Verschlüsseln der Daten werden ganz viele Zufallszahlen benötigt. Und Zufallszahlen sind auf Computern sehr schwer zu kriegen. Und deswegen nimmt man ein bisschen echten Zufall, und macht daraus noch ganz viel mehr Zufall. Und wenn man nicht genug echten Zufall nimmt am Anfang, dann kommen eventuell nachher Zufallszahlen raus, die man doch vorhersagen kann. Und in solchen Situationen – ich meine, die kann man dann als Reverse Engineer, wenn man da viel Zeit drin versenkt, kann man solche Situationen erkennen. Und dann eventuell Opfern helfen, die Daten wieder zu bekommen, ohne dass sie die Schlüssel haben. Es gab auch noch andere Fälle. NotPetya zum Beispiel, da wurde ein Algorithmus, der eigentlich sicher ist, auf eine falsche Art und Weise kompiliert, also in Maschinen Code übersetzt, und dann war es auch möglich, den Algorithmus zu brechen. Da werden wir auch was in die Shownotes packen. Und ja, manchmal ist es so, dass der Schlüssel, der eigentlich an den Akteur geschickt wird, damit der den wieder für Geld rausgeben kann, dass der gar nicht richtig gelöscht wurde vom infizierten System. Und das macht man dann also manchmal so mit forensischen Mitteln, dass man dann versucht diesen Schlüssel zu rekonstruieren – auch ohne dass man Ransomware bezahlt. Das heißt also, wenn man Opfer geworden ist, dann besteht manchmal die Chance, dass man nicht bezahlen muss. Bei DoppelPaymer ist das allerdings nicht so, dass ist sicher.

00:23:26-3 Christian Dietrich: Das bringt uns zum Fazit und zum Abschluss dieser Folge. Lars, was ist denn dein Fazit?

00:23:33-3 Lars Wallenborn: Also ich würde sagen, das hier wäre fast ein Fall gewesen, wo eine Cyberwaffe – sage ich jetzt mal ganz dramatisch – auf einen Menschen gerichtet wurde, und das hat natürlich immer Sensationspotenzial. Das ist natürlich Katastrophenjournalismus und so, aber das ist hier passiert. In diesem Fall hat sich aber herausgestellt, dass es sich nicht um so einen Fall gehandelt hat, wo eine Cyberwaffe einen Menschen getötet hat. Einen zweiten, von drei Punkten, den ich noch gerne erwähnen würde, ist, dass ich glaube, dass Ransomware weiterhin eine sehr teure Bedrohung bleibt. In dem Fall glücklicherweise nicht Menschenleben-teuer, aber Geld wird, das glaube ich, es auch noch sehr viel kosten. Und der dritte Punkt, den ich gerne jetzt sagen würde, ist, dass Backups, richtig gut funktionierende Backups, die würden auch helfen. Und die helfen nicht nur gegen Ransomware, die helfen gegen Datenverlust allgemein, wenn es brennt, oder man versehentlich auf Löschen drückt, und so weiter. Also ich sehe das ein bisschen so, wenn man das Lösegeld nicht bezahlen will, dann muss man vorher für gute Backups bezahlen. Und diese Backups müssen dann auch so gut sein, dass man die wieder herstellen kann, ohne dass dadurch Kosten entstehen, die fast so hoch sind wie das Lösegeld. Also macht Backups Leute!

00:24:44-5 Christian Dietrich: Ich schließe da an der Stelle vielleicht direkt mal an. Jetzt gibt es ja Leute, die Versicherungen gegen Ransomware Angriffe abschließen. Und das finde ich auch einen sehr schwierigen Punkt. Denn eins muss einem klar sein, eine Versicherung gegen Ransomware Angriffe, die katalysiert solche Ransomware Cybercrime Vorfälle. Denn letztlich bezahlt nur jemand anders für mich.  Und ich könnte stattdessen auch einfach versuchen, funktionierende Backups und Restore Prozeduren zu etablieren, und könnte das Problem dann vielleicht auf eine andere Art und Weise versuchen in den Griff zu bekommen. Ich glaube, wenn wir uns so ein bisschen einen Ausblick  trauen, oder vielleicht so ein bisschen den Blick schweifen lassen über andere ähnliche Vorfälle, dann ist das definitiv kein Einzelfall. Also wir haben kürzlich in Südwest Frankreich einen Fall gehabt, wo ein Krankenhaus mit Ransomware wieder angegriffen wurde, wir haben mehrere US Krankenhäuser im Herbst 2020 gehabt, die betroffen waren, also bis zu sechs. Das heißt, das ist definitiv kein Einzelfall, auch wenn so ein Moratorium herumgeistert, dass Ransomware Akteure angeblich Krankenhäuser aussparen würden. Wenn wir versuchen, ein bisschen was Positives hier dem Fall abzugewinnen, dann ist es ja eben kein Beleg für einen Todesfall, der durch eine Ransomware verursacht wurde. Und das zweite: Man hat als Verteidiger auf jeden Fall eine Chance. Denn auch hier hat es eben wieder eine schlummernde Infektion gegeben – oder höchstwahrscheinlich. Wenn wir uns also noch mal vergewissern, was zwischen Dezember 2019, also vermutlich der späteste Zeitpunkt der initialen Infektion und September 2020, als so etwa neun Monate vergangen waren, bis der Ransomware Angriff zugeschlagen hat. In diesem Sinne, wir hoffen euch hat diese Folge gefallen und würden uns freuen, wenn ihr beim nächsten Mal wieder einschaltet.

00:26:30-6 Lars Wallenborn: Genau…und wenn ihr Backups macht.

00:26:32-9 Christian Dietrich: Bis dann!