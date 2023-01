Die Lockbit-Gruppe stellte klar, dass die Angreifer aus dem Partnerprogramm geworfen wurden. Betroffen ist ein Kinderkrankenhaus in Kanada

Lockbit hat den Schlüssel zur Freigabe der Daten zur Verfügung gestellt. Foto: AFP / Fred Tanneau

Nur selten haben es Cyberkriminelle auf ein spezifisches Ziel abgesehen. Um möglichst großen Profit aus ihren Attacken zu schlagen, werden diese stattdessen breit gestreut, stets in der Hoffnung, eine möglichst lukrative Sicherheitslücke aufzuspüren. Anschließend werden meist die Systeme des Opfers verschlüsselt und ein Lösegeld verlangt. Im Laufe der letzten Jahre konnte sich die Szene stetig professionalisieren und kommerzialisieren. Grund dafür ist unter anderem der Aufstieg von "Ransomware as a Service", also einem Abomodell für Schadsoftware, das selbst technisch eher unbedarften Menschen ermöglicht, Geld zu erbeuten.

Als Außenstehender könnte man meinen, dass die Branche keinen Regeln folgt. Das scheint jedoch nicht ganz der Fall zu sein, wie ein aktuelles Beispiel zeigt. Nachdem ein Abnehmer ihrer Ransomware die Systeme des kanadischen Kinderkrankenhauses Sick Kids verschlüsselt hatte, veröffentlichte die Ransomware-Gruppe Lockbit eine Entschuldigung, berichtet "Bleeping Computer". Gleichzeitig posteten die Cyberkriminellen den zur Freigabe der Daten notwendigen Schlüssel und stellten klar, dass "der Partner, der dieses Krankenhaus angegriffen hat", gegen die eigenen Regeln verstoßen habe und "nicht mehr an unserem Partnerprogramm" teilnehme.

Keine persönlichen Daten betroffen

Der Angriff fand laut dem betroffenen Krankenhaus bereits am 18. Dezember statt. In einer Presseaussendung informierte es am Folgetag, dass es derzeit keine Anzeichen dafür gebe, "dass personenbezogene Daten oder persönliche Gesundheitsdaten betroffen sind". Stattdessen soll die Attacke "nur einige interne klinische und Unternehmenssysteme sowie einige Telefonleitungen und Webseiten des Krankenhauses" getroffen haben.

Am Sonntag reagierte Sick Kids auch auf das Posting der Lockbit-Gruppe. Man sei sich des Statements bewusst und habe externe Expertinnen und Experten damit beauftragt, "die Verwendung des Entschlüsselungsprogramms zu überprüfen und zu bewerten". Bisher habe man bereits 60 Prozent der vorrangigen Systeme wiederhergestellt. Eine Ransomware-Zahlung habe man nicht geleistet.

Regelwerk

Die Ransomware-Gruppe finanziert sich laut "Bleeping Computer" über Provisionen. Lockbit erhalte etwa 20 Prozent der erbeuteten Lösegeldzahlungen und gebe den Rest an die Affiliate-Partner weiter. Laut dem Regelwerk der Gruppe sei es allerdings verboten, die Daten von medizinischen Einrichtungen zu verschlüsseln, wenn dies zum Tod von Menschen führen könnte.

Allzu strikt scheint diese Regelung nicht durchgesetzt zu werden, immerhin wurde die Entschuldigung und der Entschlüsselungsschlüssel erst nach über einer Woche veröffentlicht. Außerdem heben die Berichterstatter hervor, dass es sich nicht um den ersten vergleichbaren Vorfall handelt. Unter anderem traf es im August das französische Center Hospitalier Sud Francilien. (red, 2.1.2023)