Artikel: Volker Strauß | Wir werfen einen Blick auf die Hackergruppe, die hinter dem Ransomware-Angriff auf die UDE steckt. [Illustration: Judit Tiduj]
Ein Jahr ist vergangen, seit die Universität Duisburg-Essen (UDE) von einem Ransomware-Angriff erschüttert wurde. Zum Jahrestag werfen wir einen Blick auf die Hackergruppe, die dahintersteckt.
Verantwortlich für den Hackerangriff vergangenen November ist laut dem Fachmagazin Bleeping Computer die Hackergruppe Vice Society (Ja richtig gehört, GTA-Reference). Die Hackergruppe stammt vermutlich aus Russland und ist auf Ransomware-Angriffe auf vornehmlich Bildungseinrichtungen spezialisiert.
Auf ihrer Website präsentiert die Hackergruppe eine Liste ihrer „Partner“ – eine ironische Bezeichnung für die Opfer, die sich weigern, Lösegeld für die gestohlenen Daten zu zahlen. Unter diesen „Partnern“ finden sich neben der Universität Duisburg-Essen auch Bildungseinrichtungen wie die HAW Hamburg oder der Los Angeles Unified School District, aber auch Unternehmen wie IKEA Morocco und Kuwait. Das FBI vermutet die Hacker in Russland. So wurde bei dem Angriff auf die HAW-Hamburg eine Schadsoftware namens Zeppelin verwendet. Die Software überprüft die Sprache und Länderkennung des infizierten Computers. Die Schadsoftware wird nur dann ausgeführt, wenn der Computer sich außerhalb Russlands, der Ukraine oder Kasachstan befindet. Zeppelin ist aber keine Eigenkreation der Vice Society. Die Hackergruppe nutzt wechselnde Schadsoftware und soll zuletzt auch eine Eigenkreation namens PolyVice eingesetzt haben.
Laut ihrer Website sind die Hacker seit Januar 2021 aktiv. SOC Radar Research zufolge ist Vice Society für 3,4 Prozent aller Ransomware-Attacken verantwortlich. BKA-Chef Holger Münch zufolge liegt der Gesamtschaden durch Ransomware-Angriffe im Jahr 2021 bei rund 24,3 Milliarden Euro. Diese Statistiken sind aber nicht verlässlich, die Dunkelziffer ist vermutlich deutlich höher, da viele Unternehmen, die Lösegeld bezahlt haben, dazu neigen, Lösegeldzahlungen nicht öffentlich zu machen. Denn die Bezahlung des Lösegelds ist für viele Firmen verkraftbarer als der Imageschaden, der durch Datenverlust und Veröffentlichung der zumeist hochsensiblen Daten entsteht.
Im Fall der Universität Duisburg-Essen wurde die IT-Infrastruktur sofort nach Entdeckung der Ransomware-Attacke heruntergefahren. Somit gelang es den Hackern nur, vergleichsweise wenige und vor allem wenige sensible Daten zu erbeuten. Wir haben uns die auf der Leak-Site der Hacker veröffentlichten Daten einmal genauer angesehen. Der Datensatz besteht aus Finanzdokumenten und Backups, aber auch Forschungsarbeiten und Tabellenkalkulationen von Studierenden.
Wie findet man die Hacker:innen?
Die Vice Society lässt sich ziemlich einfach im Internet finden, mittels TOR-Browser (ein Browser, der IP-Adresse und Internetaktivität von Nutzer:innen verschleiert) lässt sich die Website der Hacker:innen besuchen. Hier findet man zum einen eine Liste aller Partner und kann auch direkt auf die gestohlenen Daten zugreifen. Außerdem gibt es ein FAQ für Journalist:innen und Opfer sowie einen Blog, auf dem sich die Hacker:innen über Artikel, die über sie geschrieben wurden, lustig machen.
Der Bildungsbereich zählt zu den beliebtesten Zielen von Hacker:innen und Vice Society gilt als Big Player. Laut SOC Radar Research war sie 2022 für mindestens 39 Angriffe auf Bildungseinrichtungen verantwortlich.
Wir haben versucht, die Hacker:innen von Vice Society per Mail zu erreichen. Das ist ziemlich einfach, man findet eine Mail-Adresse auf ihrer Website. Diese werden zum einen für den Kontakt mit gehackten Institutionen, aber auch für Journalist:innen verwendet. Leider haben wir noch keine Antwort von den Hacker:innen erhalten.
Warum ist der Bildungsbereich so beliebt bei Hacker:innen?
Der menschliche Faktor spielt eine große Rolle bei Ransomware-Angriffen. Das liegt hauptsächlich daran, dass die Hacker:innen meist durch sogenannte Phishing-Mails in das System eindringen. Das heißt ein:e Nutzer:in innerhalb der Organisation bekommt eine E-Mail und klickt beispielsweise auf einen Link oder einen Malware-behafteten Anhang und infiziert so das gesamte System mit Ransomware. Sind Mitarbeitende oder Studierende nicht sensibilisiert für solche Art von Angriffen, birgt dies ein großes Risiko, denn menschliches Versagen wird für 75 % der IT-Sicherheitslücken und Cyberangriffe verantwortlich gemacht. Die Sensibilisierung für solche Phishing-Mails wird an einer Universität primär durch die Vielzahl an Studierenden (die Universität Duisburg-Essen beispielsweise hat rund 41.000 Studierende) erschwert. Dadurch, dass Bildungseinrichtungen häufig über begrenzte Finanzmittel verfügen, fallen Investitionen in die IT-Sicherheit zudem oft gering aus. Dies resultiert häufig in veralteten Systemen und unzureichenden Sicherheitsstandards, was die Verletzlichkeit der Bildungseinrichtungen durch Cyberangriffe erhöht.
Zudem speichern Bildungseinrichtungen eine Vielzahl von sensiblen Daten wie beispielsweise Bankdaten, Zeugnisse und auch geistiges Eigentum. Hinzu kommt noch, dass eine Einschränkung der IT-Infrastruktur auch zu großen finanziellen Verlusten führen kann. Im Mai 2019 wurde an der Universität Duisburg-Essen eine Ransomware-Attacke nur knapp verhindert. In einem Interview über diese Attacke warnt der Chief Information Security Officer der UDE, Dr. Marius Mertens, dass ein Ausfall des Supercomputers der Uni, welcher zu den Top 500 Supercomputern in Europa gehört, 75.000 € pro Woche kosten würde. Und Ransomware-Attacken können auch noch viel weitreichendere Folgen haben. Das Lincoln College in Illinois musste nach 157 Jahren aufgrund einer Ransomware-Attacke in Kombination mit ökonomischen Problemen, ausgelöst durch die Covid-19 Pandemie, die Türen schließen. Und das, obwohl die Hochschule das geforderte Lösegeld bezahlte. Die Entschlüsselung der gestohlenen Daten funktionierte zunächst gar nicht und dann nicht vollständig.
Was ist Ransomware?
Ransomware sind schädliche Programme, die Zugriff auf Daten und Systeme blockieren, meist durch Verschlüsselung. Um sie wieder nutzen zu können, muss ein Lösegeld (engl. ransom) gezahlt werden. Es handelt sich also um eine Art digitaler Erpressung.
Die erste Ransomware, bekannt unter dem Namen AIDS-Trojaner oder auch Love Virus wurde ab 1989 über per Post verschickte Disketten an Forscher:innen, die zur AIDS-Erkrankung forschten, versendet. Die Software verschlüsselte die Dateien auf dem PC und zeigte eine Nachricht an, dass der:die Nutzer:in eine Jahreslizenz für 189 US-Dollar kaufen müsse, um die Daten wiederherstellen zu können. Es soll Forscher:innen gegeben haben, die durch dieses Virus ihre gesamten Forschungsergebnisse verloren haben, weil sie aus Panik ihr komplettes System formatierten.
Das Aufkommen des Internets machte die Erpressungsmethode effizienter. Ab 2011 begann eine exponentielle Wachstumsphase der Ransomware-Varianten. Technische Weiterentwicklungen machten die Verteilung und Zerstörung durch Ransomware effizienter. Und auch die Verbreitung von Kryptowährungen wie Bitcoin machten Ransomware-Angriffe erfolgreicher, da so die Lösegeldzahlungen anonymer wurden.
Waren zunächst vordergründig Privatpersonen Ziele der Hacker, zeichnete sich ab 2017 eine Fokussierung auf Unternehmen ab, da durch das Lahmlegen eines ganzen Unternehmens deutlich mehr Lösegeld erpresst werden kann. Seit 2020 zählt die Veröffentlichung der verschlüsselten Daten bei Nichtbezahlen des Lösegelds zum Standardvorgehen der meisten Ransomware-Gruppen.
Der Hackerangriff vergangenen Jahres hatte immense Auswirkungen auf den Universitätsalltag. Forschung und Lehre waren stark beeinflusst und auch bis heute hat sich die Universität nicht vollständig von den Folgen des Angriffs erholt. Noch immer funktioniert etwa die MyUDE-App nur in einer UDE tiny-Version und auch die Server des AStAs sind noch offline, was auch unserer Redaktion das reibungslose Arbeiten weiterhin erschwert. Aber es hätte schlimmer kommen können. Durch das schnelle Herunterfahren der IT-Infrastruktur gelangten nur wenige Daten in die Hände der Hacker:innen. Trotzdem sorgte der Hack für viel Chaos und auch ein finanzieller Schaden ist nicht auszuschließen.