Erpressungstrojaner, auch "Ransomware" genannt, bleiben eines der größten Ärgernisse, mit denen sich die IT-Abteilungen von Firmen, Organisationen und Regierungen seit einigen Jahren herumärgern müssen. Und auch Privatpersonen haben wenig Freude, wenn Schadsoftware ihre Daten verschlüsselt und im Namen seiner Verbreiter Geld für die Freigabe einfordert.

Während manche der kriminellen Gruppierungen aufgrund der Coronavirus-Pandemie verkündet haben, Spitäler und andere Institutionen des Gesundheitswesens temporär zu verschonen oder bei versehentlicher Infektion kostenlos zu "retten", betreiben andere ihre Geschäft wie gewohnt weiter. Diese Erfahrung musste auch die University of California kürzlich machen. Sie kam ihr teuer zu stehen.

Wissenschaftliche Arbeiten verschlüsselt

Im Juni nistete sich ein Erpressungstrojaner auf Servern der Universität am Standort in San Francisco (UCSF) ein. Erwischt hatte es das Institut für Medizin. Die Administratoren konnten die Bedrohung schnell entdecken und eine weitere Ausbreitung im Netzwerk verhindern.

So seien etwa keine für die Behandlung von Patienten notwendigen Systeme oder Daten im Zusammenhang mit der Arbeit gegen Covid-19 betroffen gewesen. Man geht aktuell auch davon aus, dass es den Angreifern nicht gelungen ist, an Patientendaten zu kommen.

Allerdings sollen zahlreiche Forschungsarbeiten abgegriffen und dann verschlüsselt worden sein. Die Angreifer, es dürfte sich um die "Netwalker"-Gruppe handeln, übermittelten als Beweis einen Auszug ihrer "Beute". Mit ihrer gleichnamigen Ransomware hatte diese in der Vergangenheit schon einige prominente Opfer gefunden, darunter die University of Michigan, die Gesundheitsbehörden des Bezirks Champaign in Illinois und auch die Stadtverwaltung des steirischen Ortes Weiz.

Cyberkriminelle forderten zuerst drei Millionen

Die BBC konnte die Verhandlungen zwischen der UCSF und den Erpressern im Dark Web dokumentieren. Demnach forderten die Cyberkriminellen zuerst drei Millionen Dollar. Dem entgegneten Vertreter der Universität ein Angebot von 780.000 Dollar mit Bitte um Verständnis, dass die Coronakrise für die Organisation "finanziell verheerend" gewesen wäre.

Die Täter lehnten den Vorschlag zwar ab, hielten aber auch nicht an ihrer Forderung fest. Nach einigem Hin und Her einigte man sich schließlich auf einen Betrag von knapp über 1,14 Millionen Dollar (nach aktuellem Kurs etwa 1,02 Millionen Euro), die von der Universität in Form von Bitcoin überwiesen wurden. Daraufhin übermittelte die Gruppierung eine Software zur Entschlüsselung der Daten und sicherte zu, die erbeuteten Daten von ihren eigenen Servern zu löschen.

Nun arbeitet die Universität den Angriff gemeinsam mit dem FBI auf. Die betroffenen Server sind aufgrund der laufenden Untersuchung nach wie vor offline. (gpi, 01.07.2020)