University of Utah begleicht Ransomware-Forderung über 457.000 USD

Die University of Utah gilt als das jüngste Opfer der Ransomware-Bande NetWalker mit Ransomware-Angriffen auf die Hochschulbildung

University of Utah
Bildquelle: mohamed_hassan, thx! (Pixabay Lizenz)

Universitäten werden zu einer zunehmend beliebten und scheinbar profitablen Angriffsfläche für Ransomware-Erpresser. Diesbezüglich ist die University of Utah das jüngste Opfer einer Reihe von Ransomware-Angriffen auf die Hochschulbildung. Vermutlich steckt hinter den Angiffen auf die Universitäten dieselbe Ransomware-Bande, namens NetWalker, berichtet Decrypt.

Neues Opfer von NetWalker: University of Utah

In einer Erklärung auf ihrer Website gab die University of Utah am 20.08.2020 bekannt, dass sie 457.059,24 USD Lösegeld gezahlt hat, um zu vermeiden, dass Daten verloren gehen. Es wird normalerweise nicht empfohlen, dass Ransomware-Ziele auf Erpresser-Forderungen eingehen sollen. In einigen Fällen entscheiden sich die Opfer jedoch für eine Lösegeldzahlung, um die Auswirkungen zu mildern. Wie die Universität informierte, habe sie „beschlossen, mit ihrem Cyber-Versicherer zusammenzuarbeiten, um eine Gebühr an den Ransomware-Angreifer zu zahlen“. Demnach beglich die Cyberversicherung der Universität einen Teil des Lösegelds, den Rest übernahm die Universität. Für die Zahlung des Lösegelds „wurden keine Studiengebühren, Zuschüsse, Spenden, staatlichen oder Steuergelder verwendet“, hieß es.

Universität wollte mit Begleichen der Lösegeldforderung sensible Daten schützen

Einerseits wollte die University of Utah mit einer Zahlung verhindern, dass sensible Daten online veröffentlicht werden. Zum anderen wollten sie, dass ihre Daten wieder entschlüsselt zur Verfügung stehen. Die Hacker verschlüsselten insgesamt 0,02% der auf ihren Servern gespeicherten Daten. Die betroffenen Daten enthielten potenziell sensible Informationen zu Mitarbeitern und Studenten. Andere IT-Systeme auf dem Campus waren nicht kompromittiert.

Wie die Universität weiterhin bekannt gab, fand der Ransomware-Angriff am Sonntag, dem 19. Juli 2020, auf die Computerserver am College of Social and Behavioral Science (CSBS) der University of Utah statt. Der Anschlag machte die Server vorübergehend unzugänglich. Die Universität benachrichtigte daraufhin sofort die zuständigen Strafverfolgungsbehörden. Das Information Security Office (ISO) der Universität untersuchte und löste den Vorfall in Absprache mit einer externen Firma, die sich auf Ransomware-Angriffe spezialisiert hat. Infolge hat das Information Security Office die CSBS-Server sofort vom Rest des Netzwerks und vom Internet isoliert, während die Universität eine Untersuchung durchführte.

University of Utah

Screenshot (Ausschnitt) der Webseite der University of Utah.

NetWalker auch in der Vergangenheit bereits sehr aktiv

Erst kürzlich, am 01. 06.2020, verschlüsselte die Hacker-Gruppe NetWalker eine Reihe von Server, die die School of Medicine der Universität verwendete. Nachdem die Universität den Cyber-Vorfall am 03.06.2020 entdeckt hatte, isolierte sie gleichfalls die betroffenen Server erfolgreich vom UCSF-Kernnetzwerk. Sie konnten damit jedoch nicht verhindern, dass die Hacker die verschlüsselten Daten als Verhandlungbasis verwendeten. Im Fall der University of California in San Francisco entschied sich das College für die Zahlung einer Lösegeldgebühr von 1,14 Mio. USD, um vertrauliche Forschungsdateien zu sichern.


In Bezug auf die University of Utah war die Zahlung der Ransomware-Gebühr wahrscheinlich billiger als die potenziellen Rechtsstreitigkeiten, die sich aus einem Datenverstoß bei Mitarbeitern und Studenten ergeben hätten. Auch hier liegt die Vermutung nahe, dass hinter den Angriff die Hacker-Gruppe NetWalker steckt. Die Gruppe hatte zudem in den letzten Wochen noch eine Reihe zusätzlicher Bildungseinrichtungen ins Visier genommen, darunter das Columbia College Chicago, die Michigan State University und die City University of Seattle. Gemäß eines Berichtes von McAfee, hätte NetWalker allein seit März über 25 Millionen US-Dollar aus Ransomware-Zahlungen eingenommen.

Brett Callow, Bedrohungsanalyst des Cyber-Sicherheitsunternehmens Emsisoft, glaubt, dass Ransomware-Angriffe ein Ende nehmen würden, sobald Organisationen damit aufhören würden, Lösegeld zu zahlen:

„Anders ausgedrückt: Organisationen, die sich für die Zahlung entscheiden, tragen dazu bei, dass das Problem weiterhin besteht und Hacker andere Organisationen gezielt angesprechen.“

Tarnkappe.info

Über den Autor

Antonia ist bereits seit Januar 2016 Autorin bei der Tarnkappe. Eingestiegen ist sie zunächst mit Buch-Rezensionen. Inzwischen schreibt sie bevorzugt über juristische Themen, wie P2P-Fälle, sie greift aber auch andere Netzthemen, wie Cybercrime, auf. Ihre Interessen beziehen sich hauptsächlich auf Literatur.