Wird diese Art der Erpressung Schule machen? In Anapolis (USA) sind Hacker in die Rechner einer Behörde eingedrungen und haben die dort vorgefundenen Daten verschlüsselt. Den Schlüssel wollen sie nur gegen ein Lösegeld herausrücken.

Zweimal, so heißt es in einem Pressebericht, habe die Verwaltung des Anapolis County (ein County entspricht etwa einem Landkreis) in den letzten Wochen ungebetenen Besuch von Hackern erhalten. Offenbar luden die Eindringlinge dabei keine Daten herunter, sondern ließen ein Verschlüsselungsprogramm über alle Dateien laufen, an die sie herankamen. Den Schlüssel wollen sie nur herausrücken, wenn die betroffene Behörde ein Lösegeld bezahlt. Dieses liegt bei bescheidenen 500 US-Dollar.

Allzu viele Details hat die County-Verwaltung über diesen Angriff erwartungsgemäß nicht veröffentlicht. Die offizielle Darstellung lautet: Alle betroffenen Daten sind ersetzbar, ein Lösegeld werde man nicht bezahlen.

Lösegeldforderungen für verschlüsselte Daten sind nichts Neues. Allerdings kenne ich dieses Vorgehen bisher nur im Zusammenhang mit Krypto-Viren oder ähnlichen Schadprogrammen. Diese verschlüsseln, was ihnen vor die Nase kommt, und blenden dann eine Lösegeldforderung ein. Man spricht in diesem Zusammenhang auch von Kryptovirologie. Im vorliegenden Fall passt diese Bezeichnung aber nicht ganz, da die Hacker direkt auf die Daten zugriffen, ohne eine Malware zu verwenden.

Interessant ist nun die Frage, ob diese Form der Erpressung Schule machen wird. Auch PC-Anwender könnten davon betroffen sein. Ein Erpresser könnte sich beispielsweise gezielt an einen laufenden Rechner heranmachen, dessen Benutzer es versäumt hat, den Bildschirm zu sperren. Ein vom USB-Stick gestartetes Progamm könnte anschließend eine Datei nach dem anderen verschlüsseln. Wenn der Benutzer zurückkommt, ist möglicherweise schon ein Teil seiner Festplatte unbrauchbar.

Allerdings müssen sich alle, die auf diese Art unerlaubterweise Geld verdienen wollen, überlegen, wie die Geldübergabe abläuft – bekanntermaßen die Schwachstelle in allen Entführungs- und vielen Erpressungsfällen. Ich vermute, dass die Hacker im oben beschriebenen Fall an eine Überweisung ins Ausland dachten (ich weiß leider nicht so genau, über welchen Anbieter man so etwas möglichst anonym hinbekommt). Dies hat jedoch einen Nachteil: Allzu große Summen wird man auf diese Weise nicht transferieren können. Vielleicht haben sich die Hacker deshalb mit 500 Dollar begnügt.

Zum Weiterlesen: Vermissten-Fall Powell: Polizei beißt sich an verschlüsselten E-Mails die Zähne aus

Kommentare (13)

  1. #1 Brian
    26. Oktober 2014

    Mit Bitcoins kann mann auch grössere Summen verlangen. FYI: Gerade in Serie “The Good Wife” 6×05 Shiny Objects
    “Gleichzeitig geht auch in der Kanzlei alles drunter und drüber: Diane hat mit einem falschen Klick Ransomware auf das Computersystem der Kanzlei aufgespielt. Sind die Anwälte nicht bereit innerhalb von 72 Stunden 50.000 Dollar zu bezahlen, will ein Unbekannter alle Daten der Kanzlei löschen.”
    FYI: http://www.hardwareluxx.de/index.php/news/hardware/festplatten/32216-synology-hacker-erpressen-nutzer-mit-verschluesselten-daten.html

  2. #2 Karol Babioch
    Bayreuth
    26. Oktober 2014

    Diese Masche ist doch gar nicht mehr so neu. Malware dieser Art wird üblicherweise Ransomware genannt [1] und ein durch die Medien bekannt gewordener Vertreter dieser Art heißt z.B. CryptoLocker [2].

    Verschlüsselungstechnologie steht eben auch den Bösewichten zur Verfügung. Die gute Nachricht ist wohl, dass auch diese Implementierungsfehler machen bzw. zum Teil unvorsichtig vorgehen. Zumindest im Falle von CryptoLocker scheint den Behörden bzw. privaten Sicherheitsunternehmen der Satz von Schlüsseln in die Finger gefallen zu sein (bei einer Beschlagnachmung/Durchsuchung?) und es gibt Dienstleister, die nun beim Einsenden einer verschlüsselten Datei den richtigen Schlüssel heraussuchen und dem Betreffenden per E-Mail zukommen lassen.

    Soviel Glück hat man bei Abwanldungen und diversen Nachmachern nicht. Hier ist technisch wohl alles soweit richtig gemacht worden, sodass man kaum eine Chance hat, wieder an seine Daten zu kommen. Es soll wohl auch schon vorgekommen sein, dass man trotz Bezahlung kein Schlüssel erhält.

    Hier helfen nur die üblichen Security- bzw. Computer-Tipps (Updates, gesunder Menschenverstand, keine Software downloaden, die man nicht explizit sucht, und Backups). Besonders wichtig sind hier aber sog. “Offline-Backups”, sodass die Malware nicht die Möglichkeit hat die Backups gleich mit zu verschlüsseln.

    Die Bezahlung läuft im Übrigen gut und gerne über Bitcoin bzw. andere Kryptowährungen. Ansonsten gibt es ja auch noch viele andere Bezahldienstleister, die in diesen Kreisen beliebt sind und zumindest in gewissen Grenzen Anonymität gewähren.

    Keine Ahnung wie gut die Presseberichte hier sind, und ob es sich dabei um einen gezielten Angriff gehandelt hat, oder ob sie sich nur allgemein im Umlauf befindliche Ransomware eingefangen haben. Zumindest die 500 EUR erscheinen mir als Erpressung für eine Behörde verhältnismäßig billig. Da gibt es lukrativere Ziele, die weitaus weniger Aufmerksamkeit nach sich ziehen.

    [1]: https://en.wikipedia.org/wiki/Ransomware
    [2]: https://en.wikipedia.org/wiki/CryptoLocker

  3. #3 Regina
    26. Oktober 2014

    Hallo Klaus,

    ist vielleicht eine naive Frage …
    Könnten die Daten nicht von einem Backup wieder hergestellt werden?

    • #4 Klaus Schmeh
      26. Oktober 2014

      Doch, das geht. Der Erpresser muss hoffen, dass es keine Backups gibt oder dass diese nicht vollständig sind.

  4. #5 Ludger
    26. Oktober 2014

    Klaus Schmeh:
    “Allerdings müssen sich alle, die auf diese Art unerlaubterweise Geld verdienen wollen, überlegen, wie die Geldübergabe abläuft – bekanntermaßen die Schwachstelle in allen Entführungs- und vielen Erpressungsfällen. Ich vermute, dass die Hacker im oben beschriebenen Fall an eine Überweisung ins Ausland dachten (ich weiß leider nicht so genau, über welchen Anbieter man so etwas möglichst anonym hinbekommt).”

    Das machen die mit Ukash ( http://de.wikipedia.org/wiki/Ukash ).

    • #6 Klaus Schmeh
      26. Oktober 2014

      Interessant. Ich nehme aber an, dass man damit keine Millionenbeträge überweisen kann.

  5. #7 Nitribitt
    26. Oktober 2014

    Die Behauptung, Hacker hätten diese Polizeiwache gezielt angegriffen ist mit grosser Sicherheit Blödsinn. Wahrscheinlich hat bloss ein Polizist eine Pornoseite aufgerufen.

    • #8 Klaus Schmeh
      26. Oktober 2014

      Wäre auch eine Möglichkeit.

  6. #9 DasKleineTeilchen
    27. Oktober 2014

    irgendwas stinkt hier doch; 500$ für solch einen coup (auch wenns “nur” der behörden-rechner eines countys war)? denke, @nitribitt (klingt wie sprengstoff) könnte mit seiner einschätzung total richtig liegen & die behörde saugt sich jetzt ne räuberpistole ausn fingern um nicht als völlig inkompetent dazustehen.

  7. #10 Rob Cole
    27. Oktober 2014

    @Nitribitt #7, nicht Pornoseiten sind das Problem, sondern das Betriebssystem, das diese Angriffe erlaubt bzw. förmlich dazu einlädt, in Verbindung mit dem gierigen Anwender, der hinter einer selbstenpackenden .exe eine erotische Nummer vermutet.

  8. #11 Christian Berger
    28. Oktober 2014

    Das sind Kriminelle, keine Hacker! Das hat nichts mit hacken zu tun, so was kann jeder Depp schreiben.

    Wenn jemand in eine Wohnung einbricht in dem er die Tür aufbricht sagt man ja such nicht, dass er ein Zerspanungstechniker sei.

  9. #12 Karol Babioch
    Bayreuth
    30. Oktober 2014

    @Rob Cole:

    Die Schuld einfach dem Betriebssystem zuzuordnen ist auch keine Lösung. Und auch wenn gerade Microsoft in den ersten Jahren in diesem Bereich sehr viel falsch gemacht hat, so haben sie gelernt und der heutige Prozess ist im Wesentlichen schon in Ordnung. Das eigentliche Problem ist “unsichere” Software an sich und das gibt es quer durch die Bank auf allen Plattfomen und mit allen Entwicklungsmodellen (offen vs. closed). Und all das sage ich als bekennder Linuxer und Open Source Enthusiast. Aber auch hier gibt es immer wieder (peinliche) Probleme. Beispiele aus jüngster Vergangenheit sind Heartbleed und Shellshock.

    Zumindest zur Zeit ist es (gerade bei komplexer Software) viel zu einfach sicherheitsrelevante Fehler zu machen und es gibt viele Gründe, die für ein frühes (halbfertiges) Release sprechen, welches man mit anschließendend Patches bei Bekanntwerden von Sicherheitslücken schließt. Das im Detail auszuführen führt zu weit, aber dem interessierten Leser sei Bruce Schneier mit seinen Essays ans Herz gelegt ;).

    @Christian Berger:

    Ich würde den Kampf um den Begriff “Hacker” als verloren bezeichnen. Die Unterscheidung zwischen “Hacker”, “Cracker”, “Script-Kiddie” mag vielleicht für Leute interessant sein, die sich mit der Materie und der Geschichte des Hacker-Ethos auseinander setzen, nicht aber für die Allgemeinheit. In den Medien werden “Bösewichter am Computer” i.d.R. mit Hacker gleichgesetzt und der Gebrauch der Sprache lässt sich nun einmal nicht wirklich vorschreiben. Wörter kommen stets hinzu bzw. ändern ihre Bedeutung und die damit einhergehenden Assoziationen. Damit muss man sich abfinden – auch wenn es manchmal weh tut ;).

    Außerdem sind die Macher von Malware dieser Dimension sicherlich keine Amateure mehr. Das kann eben nicht “jeder Depp schreiben”. Da werden aktuelle kryptografische Erkenntnisse (fehlerfrei) umgesetzt und oft auch bestehende Technologien in einer sehr kreativen Art und Weise verwendet. Man denke nur an IRC bzw. DNS als Kommunikationskanal zur Kontrolle von Botnetzen, sowie Tor zur Verschlüsselung und Anonymisierung.

    Mit freundlichen Grüßen,
    Karol Babioch

    • #13 Klaus Schmeh
      30. Oktober 2014

      >Ich würde den Kampf um den Begriff “Hacker” als verloren bezeichnen.
      Das sehe ich genauso. Ein Hacker ist heute jemand, der in fremde Computer eindringt, auch wenn das Wort ursprünglich eine andere Bedeutung hatte.