Erpressersoftware ist ein einträgliches Geschäft. Aus Angst vor Datenverlust oder einem Imageschaden zahlen viele Opfer klammheimlich das geforderte Lösegeld. Und dies, obwohl Experten dringend davon abraten, immerhin finanziert man damit indirekt Angriffe auf die nächsten Ziele.

Ransomware-Gruppen haben so mittlerweile einen fast schon verblüffenden Professionalisierungslevel erreicht, bei dem Opfer auch Rabatte oder Ratenzahlungen ausverhandeln können. Freilich klappt all das nur, wenn die agierenden Hacker nicht schon bei den einfachsten Dingen versagen.

Ungewohnte Stille

Der britische Wasserversorger South Staffordshire Water ist vor kurzem Opfer einer Attacke mit Erpressersoftware geworden. Doch statt der gewohnten Lösegeldforderung kam zunächst: nichts. Das ist ungewöhnlich, immerhin bringt eine Ransomware-Attacke natürlich nur etwas, wenn zahlungswillige Opfer überhaupt wissen, an wen sie sich wenden sollen.

Stutzig machte in dem Zusammenhang allerdings, dass kurz danach die Ransomware-Gruppe Clop auf ihrer Webseite eine erfolgreiche Attacke gegen die Firma Thames Water verkündete. Man habe fünf Terabyte an internen Daten gesammelt, heißt es da, als Beleg liefern die Erpresser wie gewohnt einen Ausschnitt der erbeuteten Informationen.

Datensatz

Und siehe da, die Lösung ist offenbar genauso banal, wie man es vermuten könnten. In dem Datensatz finden sich tatsächlich Hinweise auf E-Mail-Adressen von Mitarbeitern von South Staffordshire Water. Es scheint also, als hätten sich die Erpresser einfach bei ihrem Opfer vertan und so die falsche Firma erpresst, berichtet "Bleeping Computer".

Schluss mit lustig

Weniger amüsant ist, dass die Angreifer behaupten, sie hätten sich schon seit Monaten in den internen Netzwerken des Wasserversorgers frei bewegen können und dabei auch Zugriff auf jene Steuerungssysteme gehabt, über die die Beigabe von Chemikalien zum Wasser gesteuert wird. South Staffordshire Water versorgt täglich 1,6 Millionen Kunden mit durchschnittlich 330 Millionen Litern Trinkwasser.

In den veröffentlichten Daten befinden sich auch tatsächlich entsprechende Screenshots. Freilich heißt das noch nicht, dass man damit auch wirklich Änderungen an der Chemikalienmischung hätte vornehmen können. Bei South Staffordshire Water betont man jedenfalls, dass die Wasserversorgung nie gefährdet gewesen sei und alle Systeme problemlos laufen und immer gelaufen seien. Eine recht generische Stellungnahme, die wiederum viel Raum für Spekulationen über das tatsächliche Ausmaß des Zugriffs der Hacker offenlässt.

Fehlerkorrektur

Durch die Berichterstattung dürften die Erpresser jedenfalls mittlerweile ihren Fehler bemerkt haben. Jedenfalls wird auf der nur über das Anonymisierungsnetzwerk Tor erreichbaren Webseite der Gruppe mittlerweile korrekt South Staffordshire Water als Opfer gelistet. Angesichts der öffentlichen Aufmerksamkeit, die der Fall nun erfahren hat, erscheint es aber unwahrscheinlich, dass die Firma jetzt noch das Lösegeld zahlt. (apo, 17.8.2022)