Die größten Cyberattacken der vergangenen zwei, drei Jahre

Dieser Beitrag wurde am von in Allgemein, News veröffentlicht. Schlagworte: .


Die größten Cyberattacken der vergangenen zwei, drei Jahre

Gerhard Walter, Redaktion, Solutions by HANDELSBLATT MEDIA GROUP GMBH

Eine absolute Sicherheit vor Angriffen aus dem Netz gibt es nicht. Auch in den vergangenen zwei, drei Jahren haben Hacker mit Cyberangriffen auf Unternehmen und Behörden hierzulande gewaltige Schäden angerichtet. Wir präsentieren eine Auswahl der aufsehenerregendsten Cyberattacken der jüngsten Vergangenheit und erklären, was passierte, wie hoch der Schaden war und wer mutmaßlich hinter den Cyberangriffen steckte

DoppelPaymer

Was ist passiert?
Beim Hackerangriff mit der Ransomware „DoppelPaymer“ Anfang September wurden 30 Server der Uniklinik Düsseldorf verschlüsselt, wobei die Erpresser eigentlich die Düsseldorfer Universität attackieren wollten. Als die Polizei den Hackern ihren Fehler mitteilte und darüber informierte, das sie Menschenleben gefährden würden, schickten die Cybergangster einen digitalen Schlüssel. Danach brach der Kontakt ab. Eine konkrete Lösegeldforderung gab es nicht. Laut einer Mitteilung des Bundesamts für Sicherheit in der Informationstechnik (BSI) verschafften sich die Cyberkriminellen offenbar über Produkte des Herstellers Citrix, die den Fernzugriff auf IT-Systeme ermöglichen, Zugang zum Netz der Uniklinik. Die Sicherheitslücke, die seit Dezember 2019 bekannt ist, ermöglicht es Angreifern, einen beliebigen Programmcode auszuführen und Zugangsdaten auszulesen. Im schlimmsten Fall erhalten die Hacker vollen Zugriff und können Daten kopieren, mit den Rechenkapazitäten Bitcoins schürfen oder die Server verschlüsseln. Seit Januar 2020 gibt es ein Update, allerdings schützt es nicht unbedingt. Laut BSI sind nämlich Fälle bekannt, in denen Hacker sich bereits vor dem Bekanntwerden der Sicherheitslücke Zugriff auf die Systeme verschafft haben – und damit auch Monate später ihre Taten ausführen können.

Wie hoch war der Schaden?.
Operationen waren nicht mehr möglich, die Notaufnahme musste schließen, keine Notarztwagen, keine Hubschrauber, keine Krankenwagen konnten die Uniklinik anfahren. Telefone, Emails, Zugriff auf Patientendaten – fast alles stand still. Der Regelbetrieb der Klinik wurde massiv gestört. Eine Patientin starb, nachdem ihr Rettungswagen wegen der Cyberattacke umgeleitet werden musste und ihre Behandlung erst mit einstündiger Verspätung stattfinden konnte.

Wer war für die Cyberattacke verantwortlich?
Nach Einschätzung privater Sicherheitsunternehmen soll eine in der Russischen Föderation beheimate Hackergruppe für den Angriff verantwortlich sein.

WannaCry

Was ist passiert?
Schon vor drei Jahren richtete der Verschlüsselungstrojaner WannaCryptor, besser bekannt als WannaCry, weltweit große Verwüstungen auf Computern an. Innerhalb kürzester Zeit waren hunderttausende Computer in über 150 Ländern mit WannaCry infiziert. Über eine Windows-Sicherheitslücke namens EternalBlue, die vorher von der NSA ausgenutzt wurde, wurden die Rechner angegriffen und verschlüsselt. Danach verlangten die Hacker Lösegeld, um den Verschlüsselungstrojaner zu entfernen und den Zugriff auf die Rechner wieder freizugeben. Auch 2020 ist WannaCry weiterhin sehr aktiv. Mit über einer Million Windows-Geräten, die weiterhin anfällig für die EternalBlue-Sicherheitslücke sind, gelten die Erfolgschancen für Angreifer weiterhin als gut. Dabei müsste lediglich ein Windows-Update eingespielt werden, das seit März 2017, also rund zwei Monate vor dem großen Ausbruch, verfügbar ist.

Wie hoch war der Schaden?
„WannaCry verursacht auch nach drei Jahren noch immer immense Schäden“, erklärt Thomas Uhlemann, Security Specialist beim Sicherheitssoftwareanbieter ESET . „Es ist nicht ungewöhnlich, dass Cyberkriminelle Schadprogramme über Jahre immer wieder einsetzen. Das Beispiel zeigt eindringlich, wie wichtig es ist, die eigenen Systeme regelmäßig, am besten automatisch, mit Updates zu versorgen.“ 2017 wurden zahlreiche große Unternehmen, Behörden und Institutionen Opfer von WannaCry, darunter Telefónica (O2 musste das Kundencenter abschalten), Krankenhäuser in Großbritannien, die Deutsche Bahn (Anzeigetafeln an Bahnhöfen fielen aus), Renault und Nissan sowie das rumänische Außenministerium und das russische Innenministerium. Vor drei Jahren haben die Angreifer aber noch mit der Cyber-Schrotflinte geschossen. Heute handeln die Täter fokussierter und suchen sich für Angriffe gezielt mittelständische Unternehmen aus.

Wer war für die Cyberattacke verantwortlich?
Cybersecurity-Softwarehersteller wie Kaspersky und Symantec vermuten die nordkoreanische Lazarus-Gruppe hinter dem Angriff. Handfeste Beweise gibt es keine. ESET empfiehlt bei erfolgten Angriffen immer auch die sofortige Kontaktaufnahme mit den entsprechenden Cybercrime-Stellen der Landeskriminalämter, die betroffene Unternehmen beraten und unterstützen können.

Emotet

Was ist passiert?
Gefälschte E-Mails im Namen von Freunden, Nachbarn oder Kollegen gefährden im ersten Halbjahr 2020 ganze Netzwerke: Emotet gilt als eine der größten Bedrohungen durch Schadsoftware weltweit und verursacht auch in Deutschland aktuell hohe Schäden, so das Bundesamt für Sicherheit in der Informationstechnik (BSI) Mitte 2020. Das Schadprogramm wird über Spam-Kampagnen verteilt und stellt eine akute Bedrohung für Unternehmen, Behörden und Privatanwender dar. Oft sind es Mails mit angeblichen Rechnungen im Anhang. Die schädliche Nachricht erscheint glaubwürdig, weil Emotet seit Juni 2020 auch echte Anhänge aus einer E-Mail-Korrespondenz entwenden und versenden kann. Die aktuelle Emotet-Welle hat sich auch mithilfe einer Spam-Kampagne zum Corona-Virus ausbreitet. Die E-Mails erklären, wo sich das Corona-Virus aktuell verbreitet oder bieten Informationen über das Virus an. Hierzu fordern sie ihr Opfer auf, die Anhänge der E-Mail zu öffnen oder auf die eingebauten Links zu drücken. In beiden Fällen lädt sich der Nutzer unbemerkt den Trojaner herunter. Emotet ist in der Lage, gängige Antivirenschutzprogramme zu täuschen und die Identifizierung zu umgehen, indem der Code bei jedem neuen Abruf leicht verändert wird.

Wie hoch war der Schaden?
Ist ein Computer erst einmal infiziert, lädt Emotet weitere Schadsoftware nach, wie zum Beispiel den Banking-Trojaner Trickbot. Diese Schadprogramme führen zu Datenabfluss oder ermöglichen den Cyberkriminellen die vollständige Kontrolle über das System. In mehreren dem BSI bekannten Fällen hatte dies große Produktionsausfälle zur Folge, da ganze Unternehmensnetzwerke neu aufgebaut werden mussten. Für Privatanwender kann eine Infektion den Verlust von Daten, insbesondere wichtiger Zugangsdaten, bedeuten. Schäden in Millionenhöhe sind realistisch. Mitte Dezember 2019 hat das BSI vor Spam-Mails gewarnt, die augenscheinlich von der Bundesbehörden selbst stammten und Emotet enthielten. Besonders schwerwiegend waren die Folgen eines Emotet-Angriffs in Neustadt am Rübenberge. Hacker haben im September 2019 das Rathaus ins Visier genommen und dabei einen Großteil der Dateien verschlüsselt. Die Verwaltungsarbeit der niedersächsischen Stadt war zeitweilig massiv eingeschränkt. Ein Zugriff auf den Terminkalender für Eheschließungen war ebenso nicht mehr möglich wie die Auszahlung von Elterngeld oder der Zugriff auf Steuerakten. Die Stadt musste sogar einige Bauvorhaben einfrieren. Die Dokumente wurden verschlüsselt, um Lösegeld zu erpressen. Die Kommune hat der digitalen Erpressung nicht nachgegeben; durch den Neuaufbau der IT-Infrastruktur entstand ein Schaden in Höhe von 100.000 bis 150.000 Euro. Mittlerweile ist die Verwaltung wieder einsatzfähig. Ebenfalls im Herbst 2019 erfolgte der Cyberangriff von Emotet auf das Berliner Kammergericht – neun Monate nach dem Trojaner-Angriff sei ein Großteil der rund 150 Richter weiterhin nur eingeschränkt arbeitsfähig, schreiben Tagesspiegel und das Onlineportal heise.de. Sämtliche Richter hätten zwar neue Computer bekommen, könnten diese wegen fehlender VPN-Verbindungen jenseits des Büros aber nur als „Schreibmaschinen“ nutzen. Allein für die Beschaffung der Geräte und Bereitstellung sowie Betrieb der sicheren Zugänge werden mehrere Millionen Euro fällig.

Wer war für die Cyberattacke verantwortlich?
Karsten Nohl, IT-Sicherheitsexperte bei der Berliner Firma Security Research Labs, vermutet, dass die Täter im Ausland sitzen. „Von dem, was wir über Emotet wissen, scheint es eine mittelgroße Gruppe in Russland ansässiger Hacker zu sein“, so Nohl auf dem Nachrichtenportal von rbb 24. Das Bundesamt für Sicherheit in der Informationstechnik ist davon überzeugt, dass die Entwickler von Emotet ihre Software und ihre Infrastruktur an Dritte untervermieten. Diese setzten dann weitere Schadsoftware wie Trickbot und Ransomware ein, um ihre eigenen Ziele zu verfolgen. Die Motivation sei in der Regel finanzieller Natur. Das BSI geht also von Cyberkriminalität aus, nicht von Spionage.

Winnti

Was ist passiert?
Seit 2011 setzen Hacker die Schadsoftware Winnti ein, um Unternehmensnetze auszuspionieren. Anstatt Agenten in Unternehmen einzuschleusen, schicken digital arbeitende Spione eine präparierte E-Mail. Anstatt vertrauliche Unterlagen zu fotografieren, während die anderen Mitarbeiter in der Kantine sitzen, loggen sich Hacker aus der Ferne auf Unternehmensrechnern ein und schicken ihre Befehle per Tastatur. Die Hacker kartieren zum Beispiel das Unternehmens-Netzwerk, suchen strategisch günstige Punkte, um dort ihre Schadsoftware zu platzieren. Sie halten fest, welche Programme in einem Unternehmen verwendet werden und tauschen dann dort eine Datei aus. Diese Datei arbeitet wie das Original, wurde aber tatsächlich heimlich um ein paar Codezeilen ergänzt und gehorcht den Angreifern. Ein Dax-Konzern, der nicht von Winnti angegriffen wurde, hat irgendetwas falsch gemacht, so ein IT-Experte jüngst auf der Website des bayerischen Rundfunks.

Wie hoch war der Schaden?
Ernsthaften Schaden hätte die Gruppe mit dem Namen „Winnti“ angeblich nicht angerichtet.

Wer war für die Cyberattacke verantwortlich?
Winnti ist eine Gruppe von Hackern, die im Verdacht steht, Industriespionage-Angriffe auf verschiedene Unternehmen ausgeführt zu haben. Sie wird nach der gleichnamigen Schadsoftware benannt. Experten vermuten hinter der Spionagegruppe den chinesischen Staat.

Sandworm

Was ist passiert?
Bei den Angriffen im Frühjahr 2019 auf Regierungen, politische Organisationen und Medienhäuser in Deutschland und anderen EU-Ländern wurden gezielt – per sogenanntem Spearphishing – E-Mails mit Schadsoftware versendet, die die Schutzmechanismen von Microsoft-Software aushebeln. Mithilfe von Sandworm verschaffen sich Hacker Zugriff auf die IT-Infrastruktur der betroffenen Unternehmen und Behörden. Laut Verfassungsschutz sind von der Sandworm-Angriffswelle aus dem Frühjahr 2019 zwei deutschsprachige Schaddokumente bekannt: „E-Mail-Adressliste_2018.doc“ und „Wichtig! Neue Anforderungen an die Informationssicherheit. Konten bearbeite.doc“. Das Bundesamt für  Verfassungsschutz (BfV) weist darauf hin, dass der Name des zweiten Schaddokuments die Formulierung „Konten bearbeite“ – statt „bearbeiten“ – enthält. Der Direktor des Cyberspionage-Teams des US-Netzwerksicherheitsanbieters FireEye, Benjamin Read, vermutet im Handelsblatt, es könne den Hackern darum gehen, Daten zu veröffentlichen, um bestimmten politischen Parteien oder Kandidaten zu schaden. Ein weiteres Ziel der Hackergruppe ist Spionage. So gab es 2018 auch Hinweise auf Angriffe gegen eine Organisation im Bereich der Chemiewaffenforschung.

Wie hoch war der Schaden?
Es ist sehr wahrscheinlich, dass eine bislang nicht bekannte große Anzahl von Unternehmen in Deutschland von Sandworm angegriffen wurde. Eine konkrete Schadensumme ist nicht bekannt.

Wer war für die Cyberattacke verantwortlich?
Das Bundesamt für Verfassungsschutz (BfV) vermutet die „hoch versierte und äußerst aggressive“ Hacker-Gruppierung mit dem Codenamen Sandworm hinter den Attacken. Die Gruppe wurde in der Vergangenheit in Russland verortet und ist laut BfV seit mindestens 2013 aktiv. Sie soll Cyberspionage gegen die Nato, westliche Regierungsstellen, Telekommunikationsunternehmen und akademische Einrichtungen betrieben haben, später dann aber auch gegen ukrainische Energieversorger. Westliche Regierungen ordnen die Hackergruppe der russischen Regierung und dem Militärgeheimdienst GRU zu.

Maze

Was ist passiert?
Kurz vor Weihnachten, am 19. Dezember 2019, wurde der Werkzeughersteller Einhell aus Landau an der Isar Opfer eines Hackerangriffs. Aus dem IT-Systeme des börsennotierten Mittelständlers wurden große Datenmengen gestohlen. Die Cyberkriminellen drohten damit, die Daten zu veröffentlichen, wenn die Geschädigten kein Lösegeld zahlen. In einer Stellungnahme zum Angriff hatte Einhell am 31. Dezember mitgeteilt, dass das Unternehmen die Systeme und Daten kurze Zeit nach dem Angriff wiederherstellen und den geordneten Betrieb wieder aufnehmen konnte. Einhell hat den Vorfall bei den zuständigen Behörden angezeigt.

Wie hoch war der Schaden?
Es liegen keine Angabe über eine Schadenhöhe vor.

Wer war für die Cyberattacke verantwortlich?
Laut Medienberichten steckt hinter dem Angriff die Hackergruppe Maze, die IT-Systeme von Unternehmen und öffentlichen Institutionen angreift, um Daten zu stehlen. Maze war bisher vor allem in den USA und Italien aktiv.

RedLine Stealer

Was ist passiert?
Seit März 2020 nutzen Kriminelle die Unsicherheit rund um das Coronavirus und die Coronapandemie für umfangreiche Cyberangriffe mit der bisher unbekannten Malware RedLine Stealer. Das berichten die Sicherheitsexperten des US-amerikanischen Cybersecurity-Unternehmens Proofpoint. Bei diesem Angriff appellieren die Kriminellen an die Bereitschaft der Menschen, im Verbund mit anderen Menschen ein Heilmittel für Covid-19 zu finden. Kriminelle haben die E-Mails für ihre Kampagnen in Wellen versandt – diese reichten von einem Dutzend Empfänger bis zu mehr als 200.000 Adressaten auf einmal. Die COVID-19-Köder sind Social Engineering in großem Maßstab. Die Kriminellen wissen, dass die Menschen nach Informationen suchen, die ihnen Sicherheit vermitteln. Daher sind die Menschen eher geneigt auf potenziell gefährliche Links zu klicken oder Anhänge herunterzuladen. Etwa 70 Prozent der von Proofpoint aufgedeckten E-Mails liefern Malware und weitere 30 Prozent zielen darauf ab, die Zugangsdaten des Opfers zu stehlen. Die meisten dieser E-Mails nutzen dabei gefälschte Landing Pages, die Gmail oder Office 365 imitieren, und die Benutzer auffordern, ihren Benutzernamen und ihr Passwort einzugeben. RedLine Stealer ist in russischen Untergrundforen mit verschiedenen Preisoptionen ab 100 Dollar erhältlich und wurde kürzlich aktualisiert, um Krypto-Geld zu stehlen, das sich in Offline-Wallets (sogenannten Cold Wallets) befindet.

Wie hoch war der Schaden?
Eine konkrete Summe ist nicht bekannt. Zum Portfolio an Schadsoftware, die dabei zum Einsatz kommt, gehört aktuell nahezu alles, was sowohl privaten Anwendern als auch Unternehmen in irgendeiner Form schaden kann. Dazu zählt unter anderem:

  • Phishing nach Zugangsdaten
  • Dateianhänge mit Malware
  • Links als Verweis zu Webseiten, die mit Schadsoftware infiziert sind
  • Kompromittierung von Geschäfts-E-Mails (BEC, auch CEO-Fraud oder Chef-Masche genannt),
  • gefälschte Landing Pages
  • Downloader
  • Spam

Wer war für die Cyberattacke verantwortlich?
Hinter den Angriffen werden die Hacker-Gruppen TA505 und TA564 vermutet, die wahrscheinlich aus Russland stammen und die in der Vergangenheit bereits an der Verbreitung des Banking-Trojaners Dridex beteiligt waren, der zur Ausspähung von Online-Bankdaten eingesetzt wird. Die aktuellen Attacken der Hacker-Gruppen umfassen alle bekannten Mittel, die auf dem heimischen Rechner und in IT-Systemen von Unternehmen Schaden anrichten können.