DeepBlueMagic: Neue Ransomware-Angriffe auf Kommunen

IT-Strukturen in Schwerin und im Landkreis Ludwigslust-Parchim wurden mit Ransomware attackiert

[datensicherheit.de, 02.12.2021] Der massive Cyber-Angriff Mitte Oktober 2021 in Schwerin zeige deutlich „die Schwere der aktuellen Bedrohungslage in Deutschland“. Die kommunalen IT-Strukturen in Schwerin und auch im Landkreis Ludwigslust-Parchim wurden demnach bei diesem Vorfall Opfer der Schadsoftware „DeepBlueMagic“. Matan Rudis, „Head of Threat Intelligence bei SentinelOne“, geht in seiner aktuellen Stellungnahme auf diesen Angriff ein und erläutert: „Es handelt sich aber nicht um einen Einzelfall, denn bereits bei anderen vergleichbaren Vorfällen in Deutschland verwendeten Bedrohungsakteure diese Schadsoftware, wie ein Sprecher der für die Ermittlungen zuständigen Staatsanwaltschaft Rostock mitteilte.“

Foto: SentinelOne

Matan Rudis: Massiver Cyber-Angriff Mitte Oktober 2021 in Schwerin zeigt deutlich Schwere der aktuellen Bedrohungslage in Deutschland

Alle von der Ransomware befallenen Systeme wurden daraufhin zur Sicherheit heruntergefahren

Laut dpa-Berichten hätten die Opfer der Angriffe zunächst E-Mails mit der Mitteilung erhalten, dass ihre Daten verschlüsselt worden seien. „Um sie wiederzubekommen, müssten sie per E-Mail Kontakt mit den Angreifern aufnehmen.“ Die Betroffenen seien den Forderungen aber nicht nachgekommen, so der Sprecher der Staatsanwaltschaft.
Bei diesem Cyber-Angriff seien Server der Schweriner IT- und Servicegesellschaft und des Kommunalservice Mecklenburg durch die Schadsoftware teilweise verschlüsselt worden. „Alle Systeme wurden daraufhin zur Sicherheit heruntergefahren, was den Großteil der Bürgerservices in der Landeshauptstadt und dem angrenzenden Landkreis Ludwigslust-Parchim lahmlegte.“ Der Betrieb sei noch immer beeinträchtigt.

DeepBlueMagic-Ransomware verschlüsselt Dateien mit Verschlüsselungstools wie Bitlocker und BestCrypt

„,DeepBlueMagic‘ stammt offenbar aus China. Wie mehrere Ransomware-Stämme in der Vergangenheit verschlüsselt er Dateien mit gängigen Verschlüsselungstools wie ,Bitlocker‘ und ,BestCrypt‘, denen die Benutzer oft vertrauen und die sie selbst zur Verschlüsselung verwenden. Aus diesem Grund ist es schwierig, ihn anhand der statischen Signatur zu erkennen“, erläutert Rudis.
Die spezifische Funktionsweise dieser Ransomware – die Verschlüsselung mehrerer Laufwerke in kurzer Zeit und die Ausführung dieser Verschlüsselungssoftware mit ungewöhnlichen Registrierungsschlüsseln – biete trotzdem Möglichkeiten für eine intelligente Verhaltenserkennung. Jedoch sei über die Angriffsmechanismen und die Art und Weise wie sich der Virus im Netzwerk verbreitet noch nicht viel bekannt. Rudis führt abschließend aus: „Die Angreifer scheinen die Möglichkeit zu haben, die Dateien gegen Bezahlung wiederherzustellen, jedoch ist nicht sicher, ob diese Malware-Variante vor der Verschlüsselung, auch Daten aus dem Netzwerk stiehlt.“

Weitere Informationen zum Thema:

datensicherheit.de, 02.12.2021
Ransomware-Angriffe zu Weihnachten: BKA und BSI geben gemeinsame Warnung heraus / Bevorstehende Feiertage bergen erhöhtes Risiko von Ransomware-Angriffen auf Unternehmen und Organisationen

ZEIT ONLINE, 05.11.2021
Cyberangriff: Schwerin hofft auf Rückkehr an Dienstrechner

datensicherheit.de, 05.08.2021
Cyber-Attacke auf KRITIS im Landkreis Anhalt-Bitterfeld zeigt: Kommunen sollten sich besser schützen / Kommunale Verwaltungen gehören zur Kritis – sie sichern die Versorgung der Bevölkerung mit essenziellen Gütern und somit gesellschaftliches Wohlergehen

datensicherheit.de, 13.07.2021
Landkreis Anhalt-Bitterfeld: Katastrophenfall nach Cyber-Angriff ausgerufen / Katastrophenfall betrifft Verwaltung des Landkreises mit seinen rund 157.000 Einwohnern