Die Firma wurde von der Ransomware-Bande Dark Angels angegriffen. Chat-Protokolle geben Einblick in die tagelangen Verhandlungen.
Im April 2022 wurde eine grössere Firma mit Hauptsitz im Kanton Zürich mit der Ransomware Dark Angels attackiert. Die Hacker forderten in einer ersten Nachricht an das Opfer 8 Millionen US-Dollar Lösegeld in der Form von Bitcoins, wie 'Heidi.news' berichtet.
Das welsche Online-Medium erhielt Zugang zu den Chatprotokollen zwischen Dark Angels und der Firma. Man nenne diese nicht namentlich, es handle sich aber um ein grösseres Unternehmen mit über 500 Angestellten. Die Ransomware-Bande gibt auf ihrer Website im Darknet im Gegensatz zu vielen Konkurrenten ihre Opfer nicht bekannt, wie ein Blick von 'inside-it.ch' zeigt. Sicherheitsforscher von Cyble haben Dark Angels kürzlich analysiert. Es handle sich um eine neue Ransomware, die Ähnlichkeiten mit Babuk habe.
2,5 Terabyte sensible Daten verschlüsselt
Laut 'Heidi.news' (Paywall) drohten die Hacker, 2,5 Terabyte sensibler Daten zu zerstören. Das Unternehmen stieg daraufhin in Verhandlungen ein. Die geforderten 8 Millionen seien "12% unserer Jahreseinnahmen", schrieb die Firma im Chat. "Es ist unmöglich, so viel zu bezahlen!" Die Cyberkriminellen erklärten darauf, einen Rabatt zu gewähren.
Screenshot der Website von Dark Angels.
Um seine Argumente zu untermauern, habe der Vertreter der Firma einen Artikel aus dem Jahr 2019 über eine Umstrukturierung beigefügt, bei der das Unternehmen aufgrund einer schlechten Auftragslage 150 Mitarbeiter entlassen hat. Die Bande senkte ihre Forderung anschliessend auf 4,5 Millionen Dollar.
Versicherung deckt 500'000 Dollar ab
Nun schrieb die Firma, dass man über eine Versicherung verfüge, die bei einem Cyberangriff 500'000 Dollar abdecke, ausserdem könne man über 250'000 Dollar in bar verfügen. "Das ist der Betrag, den wir Ihnen bis Mitte nächster Woche zahlen können. Mehr ist nicht möglich." Darauf Dark Angels: "Wir sind bereit, einen Kompromiss einzugehen und verkaufen Ihnen die Entschlüsselung und Löschung Ihrer Daten für 3,9 Millionen Dollar."
Nach weiteren Verhandlungsrunden erklärte sich Dark Angels schliesslich bereit, 1,5 Millionen Dollar zu akzeptieren. Am 4. Mai habe das Unternehmen dann eine Transaktion mit 38 Bitcoins durchgeführt, was ungefähr diesem Wert entspricht. Weitere Nachrichten bis Ende Mai hätten laut 'Heidi.news' gezeigt, "dass die vollständige Wiederherstellung der Daten nicht ganz einfach war und dass die Firma anscheinend selbst Schwierigkeiten hatte".
Geendet habe der Chat mit Fragen des Firmenvertreters: "Warum haben Sie uns als Ziel ausgewählt? War es ein Zufall? Hat Ihnen jemand Informationen zugespielt?" Die Cyberkriminellen antworteten, die Auswahl der Angriffsziele erfolge aufgrund von "Bonität, Tätigkeitsbereiche der Organisation, durchschnittliche Anzahl von Angestellten. Ihr Unternehmen erfüllte diese Kriterien."
Ungewöhnlich: Uni Maastricht erhält Lösegeld zurück
Weiter als der Zürcher Fall liegt ein Cyberangriff auf die Universität Maastricht zurück. Auch die Hochschule entschied sich 2019, Lösegeld an eine Ransomware-Bande zu bezahlen und überwies Bitcoins, die damals einen Wert von 200'000 Euro hatten. Wie 'Keystone-SDA' berichtet, hätte die Spur der Bitcoins die niederländischen Ermittler bereits 2020 zum Cyberwallet eines Mannes in der Ukraine geführt, der den Hackern als Geldwäscher diente. Bei ihm fanden sich Bitcoins im Wert von seinerzeit 40'000 Euro. Die juristischen Verhandlungen über die Rückübertragung aus dem gesperrten Wallet zogen sich bis zum Frühjahr 2022 hin – zum Vorteil der Uni, die nun den auf fast 500'000 Euro gestiegenen Gegenwert bekommt.
Das Geld werde nicht in den allgemeinen Haushalt der Uni fliessen, sondern einem Fonds für Studenten in Not zugutekommen, sagte ein Sprecher. Er wies darauf hin, dass der von den Hackern angerichtete Schaden angesichts der Kosten zur Erneuerung des IT-Systems weit grösser als die Lösegeldsumme gewesen sei. Rund 25'000 Studierende und Lehrkräfte waren damals betroffen, etliche Examensarbeiten drohten für immer verloren zu gehen. Die Fahndung nach den Hackern und dem übergrossen Rest der Lösegeld-Bitcoins läuft weiter.