Wann kam es zum Angriff auf die Stadt Atlanta?
Am 22. März 2018 stellte die Stadtverwaltung von Atlanta fest, dass die Betriebssysteme und Sicherheitsdienste der Stadt einem Ransomware-Angriff zum Opfer gefallen waren. Auch städtische Dokumente waren bei der Datenpanne verloren gegangen, sodass viele Unterlagen von den Mitarbeitern der Behörden händisch kopiert werden mussten.
Was war passiert?
Schon vor dem Angriff war deutlich geworden, dass die Stadt Atlanta unter einer schwachen IT-Infrastruktur zu leiden hatte, die sie zunehmend anfällig für Cyberangriffe machte. Ein Gutachten vom Januar 2018 kam zu folgendem Ergebnis:
- Das Informationssicherheitsmanagementsystem (ISMS) der Stadt umfasste „fehlende oder veraltete Richtlinien, Verfahren und Leitfäden“.
- 1.500 bis 2.000 schwere Sicherheitslücken wurden gefunden.
- Auf fast 100 Behördenservern lief veraltete Software.
- Es mangelte an formalen Verfahren zur Identifizierung, Bewertung und Minderung von Risiken.
Der Mangel an robusten Sicherheitsprotokollen und die Unbedarftheit der Mitarbeiter in Sachen Cybersicherheit schufen das perfekte Umfeld für einen Cyberangriff. Am 22. März wurde das Department of Atlanta Information Management über Störungen an mehreren internen und externen Bürgeranwendungen informiert, „einschließlich einiger Programme, mit denen Bürger Rechnungen bezahlen oder auf gerichtliche Informationen zugreifen“.
Im Rahmen des Ransomware-Angriffs wurden öffentliche WLAN-Systeme wie das Flughafen-WLAN sowie die städtischen Systeme und Netzwerke infiziert. Somit konnten die Einwohner nur noch eingeschränkt auf vertrauliche oder sensible Daten zugreifen, Bürgeranwendungen nutzen, finanzielle Transaktionen durchführen und Rechnungen online begleichen. Bis zu einem Drittel der lokalen Anwendungen wurden darüber hinaus auch noch verschlüsselt, wodurch diverse Systeme, Dateien und Dokumente nicht mehr zugänglich waren. Um den Betrieb trotz der plötzlichen Störung aufrechtzuerhalten, mussten die Einrichtungen auf handschriftliche Notizen und Aufzeichnungen zurückgreifen.
Angestellte der Behörden, die versuchten, auf die betroffenen Systeme und Netzwerke zuzugreifen, wurden von der Ransomware, die später als SamSam Ransomware identifiziert wurde, aufgefordert, Lösegeld in Höhe von bis zu 50.000 US-Dollar in Bitcoin für den privaten Schlüssel zu zahlen, der den Virus entfernen und ihre Anwendungen freischalten würde.
Was ist SamSam?
SamSam Ransomware ist eine Art von Malware, die Netzwerkaktivitäten überwacht, um weitere Informationen über den laufenden Betrieb zu sammeln und potenzielle Sicherheitslücken ausfindig zu machen. Damit unterscheidet sie sich von anderen bekannten Ransomware-Varianten wie WannaCry und Petya, die sofort nach ihrem Eindringen die betroffenen Netzwerke angreifen. Mit SamSam können die Angreifer tiefer ins Netzwerk eindringen, um maximalen Schaden anzurichten und die Lösegeldforderungen zu erhöhen. Außerdem werden alle vorhandenen Backups entfernt, die als Gegenmaßnahme für den Fall eines Angriffs angelegt wurden.
Folgendermaßen können sich Hacker manuell Zugriff auf veraltete Netzwerkserver und Systemdaten verschaffen:
Sobald sie in das Netzwerk eingedrungen sind, können die Hacker administrative Berechtigungen und Zugriffsrechte erlangen. So können sie weitere Malware einschleusen, ohne entdeckt zu werden, und Sicherheitstools wie die Zwei-Faktor-Authentifizierung deaktivieren, um der Enttarnung zu entgehen.
SamSam Ransomware ist einzigartig, da sie nicht nur Daten, Dateien und Server verschlüsselt, sondern auch alle Basiskomponenten und -anwendungen, durch die es eventuell möglich wäre, die Hardware trotz des Angriffs neu zu starten. Dadurch ist es sehr mühsam und langwierig, Daten wiederherzustellen. Die Verschlüsselung von Dateien mit eindeutigen AES-Schlüsseln (AES = Advanced Encryption Standard) und öffentlichen RSA-Schlüsseln macht den Zugriff darauf unmöglich, sodass es keine Möglichkeit gibt, die Dateien ohne Zahlung des Lösegelds zu entschlüsseln.
Sobald die Cyberkriminellen ihre Operation abgeschlossen haben, stellen sie daher eine Lösegeldforderung, wobei die Zahlung über eine Open-Source-Tor-Website geleistet werden soll. Nach der Zahlung wird ein kryptografischer Schlüssel zur Verfügung gestellt, mit dem das Netzwerk entschlüsselt werden kann.
Wie hat die Stadt reagiert?
Es ist unklar, ob die Stadtverwaltung von Atlanta das Lösegeld gezahlt hat, aber die finanziellen Auswirkungen des Ransomware-Angriffs waren beispiellos. Nach der Lösegeldforderung in Höhe von 50.000 US-Dollar in Bitcoin entfernten die Hacker die Zahlungsseite, woraufhin die Stadt Notfallmaßnahmen ergriff, um die Auswirkungen zu bewältigen.
Welche Folgen hatte der Ransomware-Angriff auf die Stadt Atlanta?
Die Stadt Atlanta gab mehr als 2,6 Millionen US-Dollar für Notverträge aus, um die Schäden durch den SamSam-Ransomware-Angriffs zu beheben und ihre Computersysteme und -dienste wiederherzustellen. Fünf Tage lang litten fünf der 13 Kommunalbehörden der Stadt unter dem Angriff. Abgerechnet wurden Leistungen im Bereich Vorfalls- und Reaktionsmanagement der Firma Edelman in Höhe von 50.000 US-Dollar, Personalkosten der Behörde Atlanta Information Management (AIM), Fachwissen des Privatunternehmens Secureworks und fachkundige Unterstützung im Bereich öffentlicher Sektor von Cisco und Microsoft Cloud, um die Systeme wieder online zu bringen.
Zu den Systemen, die zwischen dem 22. März und dem 2. April von dem Ransomware-Angriff auf die Stadt Atlanta in Mitleidenschaft gezogen wurden, gehörten das Stadtgericht von Atlanta, die Zahlungsportale der Versorgungsunternehmen und die Parkverwaltung, die alle auf manuelle Verarbeitung umgestellt werden mussten. So waren beispielsweise Online- und Offline-Zahlungssysteme für Basisleistungen wie die Abrechnung für die Wasserversorgung nicht mehr zugänglich.
Nicht betroffen war unter anderem der Hartsfield-Jackson Atlanta International Airport, der auf Anraten des FBI, des Secret Service und des Department of Homeland Security sein öffentliches WLAN deaktiviert ließ. Im Gegensatz zum Ransomware-Angriff auf Krankenhäuser im Vereinigten Königreich, bei dem systemrelevante Dienste wie Feuerwehr, Polizei und Gesundheitsdienste massiv beeinträchtigt wurden, waren die Gesundheitsdienste in Atlanta nicht direkt betroffen.
Fünf Tage nach dem Angriff richtete die Stadt Atlanta ein Informationszentrum für Updates ein. Darüber wurden Mitarbeiter und Bürger informiert, dass sie ihre Computer zwar wieder einschalten konnten, eine große Anzahl von Diensten aber weiterhin nicht verfügbar sein würde. Zwar wurden bestimmte Dienste wie E-Mail, Oracle und Accela für die Mitarbeiter sofort wieder freigegeben, aber andere Dienste blieben unzugänglich, darunter das öffentliche WLAN am Flughafen ATL, das Online-Portal für Wasserabrechnungen (erst im Mai wieder verfügbar) und die Online-Zahlungsoption des Gerichts (erst im Juni wieder verfügbar). Einige Dienste bzw. Daten wurden jedoch unwiderruflich gelöscht, darunter mehrere rechtliche Dokumente und Polizeivideos.
Nach dem Vorfall erklärten die Bürgermeisterin von Atlanta, Keisha Lance Bottoms, und mehrere hohe Beamte, dass keine Bürgerdaten gefährdet worden seien und dass die Cybersicherheit in Zukunft im Mittelpunkt der Stadtpolitik stehen werde. Die Stadt ernannte im September 2018 einen neuen Chief Information Officer, Gary Brantley, und im Juni des darauffolgenden Jahres einen neuen Chief Operations Officer und Director of Emergency Preparedness.
Im Dezember 2018 gab das US-Justizministerium bekannt, dass ein Bundesgericht in Atlanta zwei iranische Staatsangehörige für den hochkomplexen Ransomware-Angriff angeklagt hatte, bei dem etwa 3.789 Computer der Stadt Atlanta, darunter diverse Server und Workstations, infiziert worden waren. Die Regierung räumte ein, dass der Angriff „den Betrieb der Stadt Atlanta massiv gestört, bestimmte öffentliche Funktionen beeinträchtigt und in den darauffolgenden Wochen und Monaten erhebliche Kosten verursacht hat. Bislang sind durch den Angriff Schäden in Millionenhöhe entstanden.“
Was kann man aus dem Ransomware-Angriff auf Atlanta lernen?
Der Ransomware-Angriff auf Atlanta ist kein Einzelfall. Ransomware-Angriffe entwickeln sich weiter und werden immer folgenreicher und komplexer. Die Implementierung robuster Cybersicherheitsprozesse ist für öffentliche und private Akteure daher unerlässlich.
Infolge schwacher oder veralteter Sicherheitssoftware und IT-Praktiken können Hacker Sicherheitslücken in Betriebsnetzwerken ausnutzen und Daten und Dienste bis zur Zahlung eines Lösegelds in Geiselhaft nehmen. Ein weiteres Beispiel für einen aufsehenerregenden Angriff ist der Ransomware-Vorfall in Baltimore im Jahr 2019, bei dem Cyberkriminelle aufgrund unzureichender und veralteter Cybersicherheitsprotokolle die städtischen Systeme und Server mit Ransomware infizierten.
Zwar wird das Lösegeld von einigen Betroffenen in Fällen wie diesen gezahlt, doch es gibt keine Garantie dafür, dass die Hacker die Ransomware-Entschlüsselungstools zur Wiederherstellung der verschlüsselten Systeme und Dienste auch wirklich bereitstellen. Da Ransomware nach wie vor eine ständige Bedrohung für Unternehmen darstellt, ist es von entscheidender Bedeutung, dass Sie Ihr Netzwerk mit einem effektiven Notfallwiederherstellungsplan und Investitionen in robuste Sicherheitstools präventiv schützen.
© 2024 Gen Digital Inc.