Advent, Advent, die Schule «brennt»! [Teil 1]

Sehr geehrte Leser*innen. Wie jedes Jahr im Advent, besinnen wir – die InfoGuard als verlässlicher Cyber-Security-Partner, ich mich als Familienvater und mein Team (CSIRT) als «Feuerwehr» – auf das zurück, was uns in diesem Jahr bewegt hat: Was haben wir erreicht? Wo können wir uns verbessern? Was hat uns persönlich berührt? Aus diesem Grund will ich Ihnen in diesem Jahr eine Cyber-Adventsstory erzählen, die sich genauso vor Kurzem ereignet hat. Und um dazu passend ein Regisseuren-Duo zu zitieren (ich bin ein grosser Fan der Cohen-Brüder): «This is a true story. The events depicted took place [in Baar in 2022]. At the request of the survivors, the names have been changed. Out of respect for the victims, the rest has been told exactly as it occurred.» Viel Freude beim Lesen!

Glück im Unglück: Als uns die Schule Winterstadt Mitte Oktober kontaktierte, waren gerade Herbstferien. Sämtliche Systeme waren verschlüsselt, nichts ging mehr. Die Schüler*innen waren irgendwo in Italien am Strand, die Lehrerschaft nutzte die Zeit zur Vorbereitung des bald wiederkehrenden Unterrichts; also nicht gerade die Zeit, in der an einer öffentlichen Schule Hochbetrieb herrscht. Dennoch war die Situation ernst.

LockBit 3.0 the world’s fastest and most stable ransomware from 2019~~~
>>>>> Your data is stolen and encrypted.
If you don’t pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don’t hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.

Wir taten, was wir in solchen Situationen immer zu tun pflegen: Visibilität herstellen. Dies geschieht bei der InfoGuard durch den Rollout eines forensischen Agenten, welcher es uns ermöglicht, auf der einen Seite die Systeme zu überwachen und auf der anderen Seite nach Angreiferspuren zu suchen. Ziel ist es dabei, sowohl den Eintrittspunkt und das Datum festzustellen als auch sicherzustellen, dass sich die Angreifer nicht mehr im Netzwerk befinden. Neben dem Rollout des Agenten werden mit dem Kunden die verschiedenen Strategien zur Wiederherstellung des Betriebs diskutiert und alle Optionen geprüft: Muss oder soll bezahlt werden? Welche Daten lassen sich aus einem Backup wiederherstellen? Darüber hinaus stellen sich Fragen wie: Wurden Daten exfiltriert? Sind sensitive Daten betroffen (Abklärungsberichte von Schüler*innen, Leistungsberichte der Lehrerschaft, Adresslisten etc.)? Und zig weitere…

(K)ein lukratives Geschäft: Cyber-Attacken auf Schulen

Aus den genannten Gründen steigen wir nach Rücksprache mit dem Kunden immer sehr früh in Verhandlungen mit den Angreifern ein. Wir behalten uns somit die Option des Bezahlens offen – obwohl wir grundsätzlich davon abraten, ist es manchmal leider unumgänglich – und können so feststellen, was die Angreifer verlangen und ob sie im Besitz von gestohlenen Daten sind.

Wir sind also in diesem Fall mit dem sogenannten «Affiliate» (der Kunde des Ransomware-as-a-Service-Providers, in diesem Fall «Lockbit 3.0») per Chat via TOR-Browser (Darknet), in Kontakt getreten. Mich persönlich hat dabei vor allem interessiert, wieso überhaupt ein Affiliate eine öffentliche Schule verschlüsselt? Eine Schule, welche weder Umsatz noch Gewinn macht; kurzum, wo eigentlich nichts zu holen ist.

Was meinen Sie dazu? Haben Sie eine Idee? Die Antwort darauf erfahren Sie im zweiten Teil unserer dreiteiligen Adventsstory.

Sie wollen den zweiten Teil der Cyber-Adventsstory nicht verpassen?

Dann abonnieren Sie jetzt unsere Blog-Updates und erhalten so die neusten Blogartikel bequem in Ihr Postfach. Gleich anmelden!

PS: Nach der Blog-Serie wartet ein tolles Gewinnspiel auf Sie, in dem wir attraktive Preise verlosen 🎁 Wir drücken Ihnen schon jetzt die Daumen!