InfoGuard AG (Hauptsitz)
Lindenstrasse 10
6340 Baar
Schweiz
InfoGuard AG
Stauffacherstrasse 141
3014 Bern
Schweiz
InfoGuard Deutschland GmbH
Landsberger Straße 302
80687 München
Deutschland
Im ersten Teil unserer dreiteiligen Adventsstory haben wir erfahren, dass die Schule Winterstadt Opfer einer Cyber-Attacke – der Ransomware «LockBit 3.0» – geworden ist. Zuletzt habe ich Ihnen die Frage gestellt, wieso eine öffentliche Schule für Cyber-Kriminelle überhaupt interessant sein könnte, denn wie wir alle wissen, gibt es weitaus lukrativere Ziele. Na, haben Sie eine Idee? In diesem Teil der Cyber-Adventsstory löse ich auf.
Während ich mit den Angreifern in Kontakt getreten bin, haben meine Kolleg*innen im Hintergrund die Systeme überprüft und rasch feststellen können, dass sehr wahrscheinlich ein Remote-Zugriff missbraucht wurde, um auf die Systeme zuzugreifen. Einmal mehr war auch dieser nicht mittels MFA (Multi-Faktor-Authentifizierung) abgesichert und somit ein Kinderspiel für die Angreifer. Auch hatte sich herauskristallisiert, dass sich die meisten Daten aus Backups wiederherstellen lassen sollten. Einzig die persönlichen Laufwerke der Mitarbeitenden waren unwiderruflich zerstört. Nun fragen Sie sich bestimmt: Bezahlen oder nicht? Der geforderte Betrag lag im sechsstelligen Bereich, sodass besonders für eine Schule ersteres ohnehin eher keine Option war…
Da die Daten grösstenteils wiederhergestellt werden konnten, war die drängendere Frage, was die drohende Veröffentlichung der Daten für die Schüler*innen und die Lehrerschaft an Konsequenzen bedeutete. Zusammen mit Kommunikationsexpert*innen und der lokalen Polizeibehörde wurden vorsorglich Schreiben für die möglicherweise Betroffenen vorbereitet. Denn wenn es tatsächlich zu einer Veröffentlichung der Daten im Darknet kommt, muss es schnell gehen!…
Zurück zu den Angreifern und der Frage, weshalb das Verschlüsseln einer öffentlichen Schule lukrativ zu sein scheint. Wie sich recht schnell herausstellte, hatten die Angreifer ihre Hausaufgaben mehr schlecht als recht gemacht. Sie haben nämlich die Kalkulation der Lösegeldforderung und vielleicht sogar den Angriff selbst unter der Annahme gemacht, dass es sich beim Opfer (der Schule) um eine Firma mit einem Jahresumsatz von 10 bis 25 Millionen CHF handelte.
Diesen Umstand haben wir den Angreifern natürlich nicht vorenthalten und sie darauf hingewiesen, dass dies wohl nicht die Droiden waren, nach denen sie gesucht hatten.
Bei der Antwort «make your offer to us» merkte ich schon, dass es den Erpressern dämmerte, dass sie sich bei diesem Erpressungsversuch wohl vertan hatten.
Genauso gespannt wie vermutlich auch Sie waren wir auf die Reaktion der Erpresser. Wie wir diesen Umstand zu unseren Zwecken nutzen konnten und ob der Schulbetrieb nach den Herbstferien gewohnt starten konnte, erfahren Sie im dritten und letzten Teil unserer dreiteiligen Cyber-Adventsgeschichte. Wenn Sie diesen und unser Adventsgewinnspiel mit tollen Preisen nicht verpassen wollen, abonnieren Sie ganz einfach unsere Blog-Updates!
Dann abonnieren Sie jetzt unsere Blog-Updates und erhalten so die neusten Blogartikel bequem in Ihr Postfach. Gleich anmelden!
PS: Nächste Woche wartet ein tolles Gewinnspiel mit attraktiven Preisen auf Sie 🎁 Wir drücken Ihnen schon jetzt die Daumen!