infoguard-cyber-security-adventsstory

Advent, Advent, die Schule «brennt»! [Teil 2]

Im ersten Teil unserer dreiteiligen Adventsstory haben wir erfahren, dass die Schule Winterstadt Opfer einer Cyber-Attacke – der Ransomware «LockBit 3.0» – geworden ist. Zuletzt habe ich Ihnen die Frage gestellt, wieso eine öffentliche Schule für Cyber-Kriminelle überhaupt interessant sein könnte, denn wie wir alle wissen, gibt es weitaus lukrativere Ziele. Na, haben Sie eine Idee? In diesem Teil der Cyber-Adventsstory löse ich auf.


Während ich mit den Angreifern in Kontakt getreten bin, haben meine Kolleg*innen im Hintergrund die Systeme überprüft und rasch feststellen können, dass sehr wahrscheinlich ein Remote-Zugriff missbraucht wurde, um auf die Systeme zuzugreifen. Einmal mehr war auch dieser nicht mittels MFA (Multi-Faktor-Authentifizierung) abgesichert und somit ein Kinderspiel für die Angreifer. Auch hatte sich herauskristallisiert, dass sich die meisten Daten aus Backups wiederherstellen lassen sollten. Einzig die persönlichen Laufwerke der Mitarbeitenden waren unwiderruflich zerstört. Nun fragen Sie sich bestimmt: Bezahlen oder nicht? Der geforderte Betrag lag im sechsstelligen Bereich, sodass besonders für eine Schule ersteres ohnehin eher keine Option war…

Da die Daten grösstenteils wiederhergestellt werden konnten, war die drängendere Frage, was die drohende Veröffentlichung der Daten für die Schüler*innen und die Lehrerschaft an Konsequenzen bedeutete. Zusammen mit Kommunikationsexpert*innen und der lokalen Polizeibehörde wurden vorsorglich Schreiben für die möglicherweise Betroffenen vorbereitet. Denn wenn es tatsächlich zu einer Veröffentlichung der Daten im Darknet kommt, muss es schnell gehen!

Auch Cyber-Kriminelle haben Hausaufgaben

Zurück zu den Angreifern und der Frage, weshalb das Verschlüsseln einer öffentlichen Schule lukrativ zu sein scheint. Wie sich recht schnell herausstellte, hatten die Angreifer ihre Hausaufgaben mehr schlecht als recht gemacht. Sie haben nämlich die Kalkulation der Lösegeldforderung und vielleicht sogar den Angriff selbst unter der Annahme gemacht, dass es sich beim Opfer (der Schule) um eine Firma mit einem Jahresumsatz von 10 bis 25 Millionen CHF handelte.

 

infoguard-x-mas-adventsstory-22-1

 

Diesen Umstand haben wir den Angreifern natürlich nicht vorenthalten und sie darauf hingewiesen, dass dies wohl nicht die Droiden waren, nach denen sie gesucht hatten.

 

infoguard-x-mas-adventsstory-22-2

 

Bei der Antwort «make your offer to us» merkte ich schon, dass es den Erpressern dämmerte, dass sie sich bei diesem Erpressungsversuch wohl vertan hatten.

Haben Cyber-Kriminelle ein Gewissen?

Genauso gespannt wie vermutlich auch Sie waren wir auf die Reaktion der Erpresser. Wie wir diesen Umstand zu unseren Zwecken nutzen konnten und ob der Schulbetrieb nach den Herbstferien gewohnt starten konnte, erfahren Sie im dritten und letzten Teil unserer dreiteiligen Cyber-Adventsgeschichte. Wenn Sie diesen und unser Adventsgewinnspiel mit tollen Preisen nicht verpassen wollen, abonnieren Sie ganz einfach unsere Blog-Updates!

Sie wollen den dritten Teil der Cyber-Adventsstory nicht verpassen?

Dann abonnieren Sie jetzt unsere Blog-Updates und erhalten so die neusten Blogartikel bequem in Ihr Postfach. Gleich anmelden!

Blog-Updates abonnieren!

PS: Nächste Woche wartet ein tolles Gewinnspiel mit attraktiven Preisen auf Sie 🎁 Wir drücken Ihnen schon jetzt die Daumen!

<< >>

Cyberrisiken , Cyber Security , CSIRT

Stefan Rothenbühler
Über den Autor / Stefan Rothenbühler

InfoGuard AG - Stefan Rothenbühler, Principal Cyber Security Analyst

Weitere Artikel von Stefan Rothenbühler


Ähnliche Artikel
Advent, Advent, die Schule «brennt»! [Teil 1]
Advent, Advent, die Schule «brennt»! [Teil 1]

Sehr geehrte Leser*innen. Wie jedes Jahr im Advent, besinnen wir – die InfoGuard als verlässlicher [...]
Ein Geschenk, das Sie nicht mal Ihrem grössten Feind wünschen [Teil 1]
Ein Geschenk, das Sie nicht mal Ihrem grössten Feind wünschen [Teil 1]

Ryuk, Trickbot, Emotet & Co. – alles Namen von Ransomware, die 2019 geprägt sowie Angst und Schrecken [...]
[Webcast] Hinter den Kulissen von Ransomware-Attacken
[Webcast] Hinter den Kulissen von Ransomware-Attacken

Cyber-Attacken zählen zu den grössten und gefährlichsten Business-Risiken. Insbesondere Ransomware-Angriffe [...]

Spannende Artikel, aktuelle News sowie Tipps & Tricks von unseren Experten rund um Cyber Security & Defence.

Blog Updates abonnieren
Social Media
Neuer Call-to-Action