[datensicherheit.de, 18.05.2021] Als neue Episode einer gegenwärtig offensichtlich „nicht abebbenden Welle an Cyber-Attacken“ wurde Ende der 19. Kalenderwoche 2021 auch die irische Gesundheitsbehörde HSE (Health Service Executive) Opfer eines Angriffs mit Ransomware – durch die Hacker-Gruppe „Conti“, meldet Palo Alto Networks. Paul Donegan, „Country Manager, Ireland“ bei Palo Alto Networks kommentiert diesen Vorfall und liefert eine Analyse der Vorgänge und der Beteiligten.

Foto: Palo Alto Networks

Paul Donegan: Laut unserem Ransomware Threat Report 2021 hat sich das durchschnittlich gezahlte Cyber-Lösegeld im Jahr 2020 mehr als verdoppelt

Ransomware-Betreiber ständig in Bewegung – sie verbessern und automatisierten ihre Aktivitäten

„Was die HSE tut, ist absolut richtig, um das Problem einzudämmen. Die Bekämpfung eines Ransomware-Angriffs ist extrem schwierig, aber ähnlich wie der Schutz von Organisationen vor anderen Malware-Angriffen, obwohl die Risiken viel größer sind“, so Donegan. Dieser Angriff auf das irische Gesundheitssystem sei ein weiteres Indiz dafür, „dass Ransomware-Betreiber ständig in Bewegung sind“: Sie verbesserten und automatisierten ihre Aktivitäten und würden immer effektiver, „wenn es darum geht, immer größere Organisationen anzugreifen“.
Sie bekämen zudem viel mehr Geld für ihre Bemühungen. „Laut unserem ,Ransomware Threat Report 2021‘ hat sich das durchschnittlich gezahlte Cyber-Lösegeld im Jahr 2020 mehr als verdoppelt – auf 312.493 US-Dollar im Vergleich zu 2019. Im Jahr 2021 hat sich die durchschnittliche Zahlung im Vergleich zum Vorjahr fast verdreifacht – auf etwa 850.000 US-Dollar. Die höchste Forderung, die wir in den letzten vier Monaten gesehen haben, lag bei 50 Millionen Dollar – im Vergleich zu 30 Millionen Dollar im gesamten Jahr 2020.“

Zero Trust schränkt Fähigkeit des Ransomware-Angreifers ein, sich durch das Netzwerk zu bewegen

„Eine Zero-Trust-Architektur ist der effektivste Weg, die Cyber-Assets und -Infrastruktur eines Unternehmens zu schützen. Mit dem richtigen Design funktioniert sie unabhängig von der Netzwerktopologie des Unternehmens. Das treibende Prinzip von ,Zero Trust, lautet ,Niemandem vertrauen, alles überprüfen‘“, erläutert Donegan.
Es helfe den implementierenden Sicherheitsteams, ihre Umgebung gegen alle bekannten Angriffsvektoren, einschließlich böswilliger Insider- und Phishing-Angriffe, zu verteidigen. Donegan führt aus: „,Zero Trust‘ schränkt die Fähigkeit des Angreifers ein, sich durch das Netzwerk zu bewegen. Es macht Sicherheitsadministratoren auf die Aktivitäten des Angreifers aufmerksam, während er versucht, sich durch das Netzwerk vorzuarbeiten.“

Palo Alto Networks zu den Hintergründen der Ransomware-Attacke auf HSE:

Hinter dem Angriff auf die zentrale irische Gesundheitsbehörde HSE steckt laut Palo Alto Networks „aller Wahrscheinlichkeit nach die Hacker-Gruppe ,Conti‘“. Diese habe beim Angriff auf die HSE einen „Spray and Pray“-Ansatz verwendet, um Netzwerke zu infizieren. „Dies bedeutet, dass die Gruppe am Ende eine breite Palette von Zielen infiziert, um große und kleine Organisationen in Branchen wie dem Gesundheitswesen, der Energiewirtschaft und Regierungsbehörden treffen.“ Sobald ein Netzwerk kompromittiert ist, „gräbt sich ,Conti‘ tief ein“. Die Kriminellen träten in Aktion und praktizierten die sogenannte Doppelte Erpressung (Double Extortion): Sie verschlüsselten Daten und verlangten eine Zahlung für „Entschlüsselungs-Schlüssel“.
Palo Alto Networks warnt: „Sie stehlen auch Daten und drohen, sie zu veröffentlichen.“ Malware-Forscher von Palo Alto Networks haben demnach beobachtet, dass die Cyber-Kriminellen Lösegelder zwischen 500.000 und 10.000.000 US-Dollar forderten. Die Höhe des Lösegelds hänge davon ab, wie leicht das Unternehmen wieder online gehen könnte, wie viel Schaden durch die Freigabe der gestohlenen Daten entstehen würde und wie zahlungsfähig das Opfer sei.

Ransomware-Angreifer Conti verspricht Nachweis der Löschung gestohlener Daten bei Lösegeldzahlung

„Conti“ verspreche, „den Nachweis zu erbringen, dass gestohlene Daten gelöscht wurden, wenn die Opfer zahlen“. Es würden Beispiele von angeblich großen Mengen gestohlener Daten veröffentlicht, und es werde damit gedroht, diese auf einer Leak-Site namens „Conti News“ zu veröffentlichen, wenn die Opfer nicht zahlen.
Diese Gruppe Cyber-Krimineller hielten sich indes nicht immer an diese Versprechen: „Sie sagt zum Beispiel, dass sie Beweise dafür liefern wird, dass sie gestohlene Daten gelöscht hat, und tut dies dann doch nicht. Manchmal ist sie nicht in der Lage, den Beweis zu erbringen, dass sie tatsächlich so viele Daten gestohlen hat, wie behauptet.“ Dies stehe im Gegensatz zu einigen anderen Cyber-Erpresserbanden, welche sich stärker als „vertrauenswürdige“ Akteure darstellten, „die ihre Versprechen einhalten, wenn die Opfer Lösegeld zahlen“.

Ransomware-Gruppe DarkSide gibt vor, unter formalem Verhaltenskodex zu operieren

„DarkSide“, die Gruppe hinter dem jüngsten Angriff auf Colonial Pipeline, gebe vor, unter einem formalen Verhaltenskodex zu operieren und sich um die Qualität ihres „Kundendienstes“ zu kümmern: „Wenn die Opfer zahlen, wird ,DarkSide‘ seinen guten Willen zu demonstrieren, einschließlich der Bereitstellung von Entschlüsselungs-Schlüsseln und der Vorlage von Beweisen, die zeigen, dass gestohlene Daten gelöscht wurden. Die Gruppe wird den Opfern mitteilen, wie sie an die Daten gelangt ist, damit sie einen erneuten Angriff verhindern können.“
Nach dem Angriff auf Colonial Pipeline erklärte sie sich in einer offiziellen „Pressemitteilung“: Die Gruppe habe mitgeteilt, sie wolle nur Profit machen und keine weitreichende Störung der Gesellschaft verursachen. „Sie versprach zudem, die Wahl der Opfer in Zukunft sorgfältiger zu überprüfen, so dass ihre Aktivitäten weniger störend sein würden.“

Weitere Informationen zum Thema:

paloalto NETWORKS, UNIT42, 17.03.2021
Highlights from the 2021 Unit 42 Ransomware Threat Report

datensicherheit.de, 14.05.2021
Signifikanter Ransomware-Angriff auf IT-Systeme der Health Service Executive / Staatliches Gesundheitssystems Irlands meldet Abschaltung der eigenen IT-Systeme als Reaktion auf Ransomware-Attacke

datensicherheit.de, 12.05.2021
DarkSide: RaaS-Attacke gegen Colonial Pipeline / Junge Ransomware-Familie DarkSide erstmals im August 2020 aufgetreten

[datensicherheit.de, 14.05.2021] Die Health Service Executive (HSE), das staatliche Gesundheitssystems Irlands, ist nach eigenen Angaben von einer Ransomware-Attacke betroffen – diese sei „signifikant“. Als unmittelbare Reaktion darauf und als Schutzmaßnahme vor möglichen weiteren Schäden sind demnach die betroffenen Systeme und viele andere Dienste vorerst offline.

Abbildung: Screenshot v. HSE auf Twitter

HSE: Vorsichtshalber alle unsere IT-Systeme heruntergefahren, um sie vor diesem Angriff zu schützen…

Ransomware-Angriff auf HSE per Twitter gemeldet

Es gebe einen signifikanten Ransomware-Angriff auf die IT-Systeme der HSE: „Wir haben vorsichtshalber alle unsere IT-Systeme heruntergefahren, um sie vor diesem Angriff zu schützen und um die Situation mit unseren eigenen Sicherheitspartnern vollständig beurteilen zu können“, heißt es in einer Meldung auf „Twitter“.
Ferner wird um Entschuldigung für die Unannehmlichkeiten gebeten, „die den Patienten und der Öffentlichkeit entstanden sind“. Es sollen demnach weitere Informationen folgen, „sobald diese verfügbar sind“. Der National Ambulance Service arbeite indes wie gewohnt weiter und es gebe keine Auswirkungen auf die Bearbeitung von Notrufen sowie den landesweiten Einsatz von Krankenwagen.

Ransomware-Akteure gehen bei ihren Angriffen zunehmend strategischer vor

„Ransomware-Angriffe haben sich in den letzten Jahren verlangsamt, aber die Bedrohungsakteure gehen bei ihren Angriffen viel strategischer vor und die Lösegeldforderungen sind in die Höhe geschossen“, kommentiert Sam Curry, „CSO“ bei Cybereason. Die Bedrohungsakteure seien Kriminelle, Geldgierige und bei Angriffen auf Kritische Infrastrukturen sogar Cyber-Terroristen.
Cybereason rate davon ab, Lösegeld zu zahlen, aber dies sei eine sehr persönliche Entscheidung für ein betroffenes Unternehmen. In Situationen, in denen es um Leben und Tod geht, oder aufgrund eines nationalen Notstandes könnte es im besten Interesse des Unternehmens sein, doch zu zahlen. Curry empfiehlt hierzu: „Bevor Sie diese Entscheidung treffen, stellen Sie sicher, dass der Rechtsbeistand und der Versicherer Ihres Unternehmens involviert sind – und informieren Sie die Strafverfolgungsbehörden über die Situation!“

Zahlung von Lösegeld nach Ransomware-Befall ermuntert Cyber-Kriminelle

Angesichts aktueller Nachrichten, wonach Colonial Pipeline „ein Lösegeld in Höhe von fünf Millionen US-Dollar an ,DarkSide‚ gezahlt haben soll“, sei davon auszugehen, dass weitere Angriffe von ermutigten Bedrohungsakteuren kommen würden. „Werden die Lösegeldforderungen bei zehn Millionen, 100 Millionen oder einer Milliarde Dollar eine Obergrenze erreichen?“, fragt Curry – es sei einfach nie eine gute Idee, Kriminelle oder Terroristen zu bezahlen.
Denn Schäden durch Ransomware seien vermeidbar, und es erfordere ein ausgereiftes Sicherheitsprogramm im betrieblichen Netzwerk, um sie zu stoppen. „Installieren Sie Software zur Erkennung und Beseitigung von Ransomware auf Ihren Endpunkten, um die Bedrohung zu stoppen.“ Ein führendes Analysten-Unternehmen habe kürzlich eine Statistik veröffentlicht, die zeige, dass nur 40 Prozent der Endgeräte mit einer „Endpoint Detection Software“ ausgestattet seien. „Um die Geißel der Ransomware zu besiegen, muss diese Zahl deutlich steigen“, fordert Curry abschließend.

Weitere Informationen zum Thema:

Wikipedia
Cyberattacke

HSE Ireland auf Twitter, 14.05.2021
There is a significant ransomware attack on the HSE IT systems…

datensicherheit.de, 12.05.2021
DarkSide: RaaS-Attacke gegen Colonial Pipeline / Junge Ransomware-Familie DarkSide erstmals im August 2020 aufgetreten

MALICIOUSLIFE THE CYBEREASON NEWS NETWORK,01.04.2021
Cybereason vs. DarkSide Ransomware

[datensicherheit.de, 04.01.2019] In seiner Stellungnahme geht der der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) auf die Medienberichte ein, wonach im Laufe des Dezembers 2018 umfangreiche Daten von Personen aus dem politischen und künstlerischen Bereich Deutschlands rechtswidrig im Internet veröffentlicht worden sein sollen – als Verbreitungsplattform habe den unbekannten Tätern das Soziale Netzwerk twitter gedient. Seit dem Morgen des 4. Januar 2019 ist der HmbBfDI nach eigenen Angaben dabei, den öffentlichen Zugang der Daten über die im nationalen Zuständigkeitsbereich liegende Plattform twitter zu stoppen. Dabei stehe diese Behörde in Kontakt mit den Kollegen der irischen Datenschutzbehörde, die in diesem Fall europaweit federführend sei.

Missbrauchtes twitter-Account vom Netz genommen

Nach eigenen Angaben wartet der HmbBfDI seit dem Morgen des 4. Januar 2019 auf Antwort – es sei aber noch nicht gelungen, eine Rückmeldung von twitter zu erhalten. Auch in Hamburg, der deutschen Hauptniederlassung, sei kein zuständiger Ansprechpartner erreichbar.
Allerdings sei das für die Veröffentlichung genutzte Account bereits vom Netz genommen worden.

Sperrung der auf andere Plattformen verweisenden Links gefordert

Jetzt gehe es darum, mittels einer direkt an twitter in Irland gerichteten Anordnung rechtsverbindlich die Sperrung der auf andere Plattformen verweisenden Links zu fordern. Denn auf diesen ursprünglichen Plattformen lägen die tatsächlichen Daten und seien noch nach wie vor frei im Netz zugänglich.
Der HmbBfDI hat demnach twitter eine entsprechende Liste mit Shortlinks zugesandt, die gelöscht werden sollen.

Schaden in jedem Fall weitreichend

Der Umfang der veröffentlichten Daten sei immens. Auch wenn keine für die öffentliche Sicherheit relevanten Informationen betroffen sein sollten, sei der Schaden, der mit der Veröffentlichung persönlicher Informationen für den einzelnen Betroffenen entstehen kann, gleichwohl erheblich.
Daten, die einmal in das Netz gestellt wurden, ließen sich dort kaum mehr beseitigen. Die Nutzung von unterschiedlichen Plattformen, die freie Zugänglichkeit und die Kopierbarkeit erschwerten dies.

Kommunikationsfluss muss verbessert werden!

Der HmbBfDI Prof. Dr. Johannes Caspar erläutert: „Obwohl wir aktuell alle uns zur Verfügung stehenden Maßnahmen ausgeschöpft haben, können wir nicht verhindern, dass diese Daten weiter öffentlich im Netz stehen. Auch wenn es keinen absoluten Schutz geben kann, gilt es, künftig Strategien zu entwickeln, die präventive Wirkung entfalten.
Der Fall zeigt zudem, dass der Kommunikationsfluss verbessert werden muss. Das gilt gegenüber Plattformen wie twitter, aber auch in der Behördenkooperation. Wenn bei den Bundesbehörden bereits gestern der Vorfall bekannt war, wäre es angebracht gewesen, die Datenschutzbehörden einzubeziehen und hiervon zeitig in Kenntnis zu setzen.“

Datenschutzbehörden sollten Vorfälle nicht erst aus den Medien erfahren!

Gerade wenn es darum geht, dafür zu sorgen, dass Accounts auf Plattformen gesperrt werden, um den Zugriff auf die personenbezogenen Daten zu erschweren, hätten die Aufsichtsbehörden im Bereich des Datenschutzes die Instrumente, um dies – zumindest bei bekannten Plattformen wie twitter – durchzusetzen.
Der Schutz der Rechte Betroffener dürfe nicht davon abhängig sein, dass Datenschutzbehörden die massive Verletzung von Rechten und Freiheiten Betroffener aus den Medien erfahren, betont Caspar.

Weitere Informationen zum Thema:

datensicherheit.de, 04.01.2019
Stellungnahmen zur Hacker-Attacke auf deutsche Politiker

[datensicherheit.de, 20.06.2014] In einer von dem Wiener Juristen Max Schrems angestoßenen Klage gegen die Untätigkeit des Irischen Datenschutzbeauftragten wegen der Datenübermittlung von Facebook Ireland Ltd. zur Konzernmutter Facebook Inc. in den USA entschied der irische High Court in Dublin mit Beschluss vom 18.06.2014, dem Europäischen Gerichtshof (EuGH) die Frage nach der Verbindlichkeit des Safe-Harbor-Beschlusses der EU-Kommission aus dem Jahr 2000 vorzulegen. Der Kläger machte geltend, dass er durch die Massendatenabfrage des US-amerikanischen Geheimdienstes National Security Agency (NSA) bei der Facebook Inc. in der USA als Facebook-Mitglied in seinen Datenschutzrechten verletzt sei. Eine entsprechende Aufforderung zum Tätigwerden wies der Irische Datenschutzbeauftragte zurück.

Der High Court stellte fest, dass die Erwartung von Schrems an die Datenschutzbehörde keineswegs „ungerechtfertigt oder schikanös“ (frivolous or vexatious) sei. Es könne von dem Kläger nicht verlangt werden, dass er einen Datenmissbrauch in den USA nachweist. Für ein Tätigwerden der Aufsichtsbehörde genüge die begründete Befürchtung, Opfer US-amerikanischer Sicherheitsbehörden zu sein, wenn diese routinemäßig und pauschal massenhaft Personendaten erfassen, wie dies gemäß den Enthüllungen von Edward Snowden der Fall ist. Das Gericht bestätigte, dass nach irischem Recht eine Übermittlung von Personendaten in ein Land verboten ist, das keinen hinreichenden Datenschutz- und Grundrechtsstandard aufweist. Dieser verfassungsrechtlich begründete Schutz würde verletzt, wenn staatliche Behörden massenhaft und undifferenziert von zu Hause aus initiierte Kommunikation überwacht, ohne dass es hierfür hinreichende objektive Gründe der Kriminalitätsbekämpfung und der inneren Sicherheit und angemessene und überprüfbare rechtliche Schutzmaßnahmen gäbe.

Der High Court wandte sich an den EuGH, weil er meint, dass der Irische Datenschutzbeauftragte durch den Safe-Harbor-Beschluss der EU-Kommission aus dem Jahr 2000 gebunden sein könnte, der wegen der Safe-Harbor-Zertifizierung von Facebook annahm, dass dort ein für die Datenübermittlung hinreichender Datenschutzstandard besteht. Die Frage des Gerichts an den EuGH geht dahin, ob eine Datenschutzaufsichtsbehörde bei ihrer datenschutzrechtlichen Beurteilung der Übermittlung in ein drittes Land, hier die USA, an die Regelungen der europäischen Datenschutzrichtlinie aus dem Jahr 1995 und den Beschluss der EU-Kommission zu Safe Harbor aus dem Jahr 2000 im Hinblick auf die 2009 in Kraft getretene Europäische Grundrechte-Charta gebunden ist, die in den Art. 7 und 8 die Privatsphäre und den Datenschutz gewährleistet.
Weiter stellt das Gericht die Frage, wenn Safe Harbor nicht verbindlich ist, ob eine Datenschutzaufsichtsbehörde Ermittlungen angesichts der faktischen Entwicklungen seit der Kommissionsentscheidung im Jahr 2000 durchführen kann (Randnummer 71 der Entscheidung vom 18.06.2014).

Die deutschen Datenschutzbehörden haben schon im Jahr 2010, also vor den Snowden-Enthüllungen, festgestellt, dass allein die formale Zertifizierung als Safe-Harbor-Unternehmen eine Übermittlung nicht rechtfertigt.

https://www.ldi.nrw.de/mainmenu_Service/submenu_Entschliessungsarchiv/Inhalt/Beschluesse_Duesseldorfer_Kreis/Inhalt/2010/Pruefung_der_Selbst-Zertifizierung_des_Datenimporteuers/Beschluss_28_29_04_10neu.pdf

Mit den Snowden-Erkenntnissen dürfte nach Ansicht des ULD endgültig klar sein, dass z. B. bei Facebook kein hinreichender Grundrechtsschutz nach europäischem Verständnis gewährleistet ist. Inzwischen wurde selbst von der EU-Kommission die Ansicht vertreten, dass die Geschäftsgrundlage von Safe Harbor weggefallen ist. Mit der Vorlagefrage kann der EuGH verbindlich feststellen, dass dies zutrifft.

Gegen das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) ist derzeit eine Berufungsklage beim Oberverwaltungsgericht Schleswig-Holstein anhängig, bei der es um Frage der Rechtmäßigkeit der Datenverarbeitung bei Facebook geht. Diese Klage wird am 4. September 2014 verhandelt. ULD-Leiter Thilo Weichert kommentiert die EuGH-Vorlage durch den irischen High Court: „Die angestrengte Rechtsklärung ist sehr zu begrüßen. Es ist zu hoffen, dass der EuGH in Fortführung seiner bisherigen Rechtsprechung klarstellt, dass Safe Harbor nicht – mehr – verbindlich ist. Politisch und rechtlich noch besser wäre es, wenn die EU-Kommission angesichts der NSA-Überwachung Safe Harbor offiziell
aufheben würde.“

Die Entscheidung des High Court vom 18.06.2014 kann im Internet in englischer Sprache abgerufen werden.

[datensicherheit.de, 16.08.2009] Auch Irland macht sich auf den Weg, eine eigene Sicherheitsstrategie für den „Cyberspace“ zu entwickeln. Diese soll bis Jahresende 2009 vorliegen, so eine Ankündigung des irischen Ministers für Kommunikation, Eamon Ryan, laut „Irish Times“:
Er mahnt zu Wachsamkeit und zur Vorbereitung auf Angriffe im virtuellen Raum. Jeden Tag werde Irland abhängiger von Technologie, sagt der Minister. Deren Möglichkeiten nähmen zu, so aber auch ihre Schwächen. Angriffe könnten volkswirtschaftliche Prozesse unterbrechen und Daten zerstören.
Eine nationale Cyber-Sicherheitsstrategie werde die Bereitschaft zur Begegnung eines Angriffs verbessern und Hardware, Software, Netzwerke sowie Verbindungen sicherer machen.

Weitere Informationen zum Thema:

IRISHTIMES.COM, 16.08.2009
New cyber strategy within months

[datensicherheit.de, 08.07.2009] Viele der rund 500.000 Kunden des irischen Internet-Providers „Eircom“ mussten in dieser Woche aufgrund eines mutmaßlichen Hacker-Angriffs offline bleiben oder hatten zumindest Verzögerungen beim Surfen im Web zu erdulden:
Die „Irish Times“ berichtete, dass einige Kunden, die so populäre Internet-Auftritte wie den der öffentlich-rechtlichen Rundfunk- und Fernsehanstalt Irlands (RTÉ) oder auch von „Facebook“ aufrufen wollten, zu den falschen Websites umgeleitet wurden, die zumeist Werbebilder oder leicht bekleidete Frauen gezeigt hätten. Der Provider sieht die Ursache des Problems in einem ungewöhnlichen Umfang des über seine Website geleiteten Internet-Verkehrs, der das System und die Server, die den Kunden den Zugang zum Internet ermöglichen, beeinträchtigt hätte. Diskussionsgruppen im Internet spekulierten, dass die Probleme durch einen Denial-of-Service-Angriff auf „Eircoms“ Domain-Name-Server-System durch Hacker verursacht wurden.
Ein „Eircom“-Sprecher sagte, dass es noch zu früh sei, Hacker als Ursache des Problems zu benennen, war aber auch nicht in der Lage einen Grund anzugeben. Eine Anzahl von Schritten sei eingeleitet worden, um den vollständigen Internet-Servicewieder herzustellen, einschließlich Software-Updates sowie Verbesserungen an der Hardware.

Weitere Informationen zum Thema:

IRISHTIMES.com, 08.07.2009
Suspected hacker attack on Eircom internet service