Port of San Diego Ransomware-Angriff: Folgen der Lowdown-Malware SamSam

Am 25. September 2018 erlitt der US-Hafen von San Diego einen schweren Cyberangriff mit der SamSam Ransomware . Die berüchtigte Malware, die seit Dezember 2015 bereits mehr als 200 öffentliche und private Organisationen infiziert hatte, stellte den täglichen Betrieb des Hafens vor große Herausforderungen. Diese Herausforderungen führten jedoch nicht dazu, dass der Hafen für eine Sekunde stillgelegt wurde. Auch die Hafenbeamten zahlten das Lösegeld nicht, und die jüngsten Aktualisierungen haben gezeigt, wie es ihnen gelang, das Schiff über Wasser zu halten.

Angemessene Prävention ist unerlässlich

Der Hafen von San Diego ist aufgrund seiner Doppelrolle ein wichtiger Bestandteil der US-amerikanischen maritimen Infrastruktur. Der Hafen dient in erster Linie kommerziellen Fracht- und Kreuzfahrtschiffen, könnte aber auch eine militärische Einrichtung unter dem Kommando des Verteidigungsministeriums einrichten, falls dies erforderlich sein sollte. Aus diesem Grund ist es nicht verwunderlich, dass die Hafenbehörden vor dem Angriff von SamSam auf Empfehlung des FBI ein elektronisches Sicherungssystem für den Umgang mit Ransomware-Bedrohungen entwickelt hatten. Dieses Backup-System ermöglichte es den Hafenbeamten, die durch die Verschlüsselung verloren gegangenen Daten wiederherzustellen, ohne dass die geforderte Lösegeldsumme bereitgestellt werden musste.

Zusätzlich zu den regelmäßigen Sicherungen wurden noch einige weitere Maßnahmen ergriffen, um die Auswirkungen des SamSam-Ransomware-Angriffs auf ein Minimum zu reduzieren. Zunächst sorgten sie dafür, dass:

• Fahren Sie jeden Computer im Netzwerk herunter.
• Verwenden Sie Ersatz-PCs und alternative Systeme.
• Vermeiden Sie den Austausch von E-Mail-Anhängen, um die Infektion einzudämmen.

Darüber hinaus scheint die SamSam Ransomware-Infektion stattgefunden zu haben, nachdem die Hafenbehörden eine Kampagne gestartet hatten, um die Sicherheit ihrer Netzwerksysteme zu verbessern und sie gegen Cyberangriffe jeglicher Art zu schützen. Die Vorbereitungen, mit denen sie zuvor begonnen hatten, erwiesen sich als ausreichend, um SamSam standzuhalten, obwohl sie zu diesem Zeitpunkt noch nicht abgeschlossen waren.

Ein Glücksfall

Wie es scheint, haben die Regierungsbeamten des Hafens von San Diego es geschafft, den Ransomware-Sturm zu überstehen, indem sie eine Reihe von richtigen Entscheidungen getroffen haben. Ihr Erfolg ist jedoch zum Teil auf die SamSam-Ransomware selbst und die dahinter stehenden Malware-Akteure zurückzuführen, die sich auf das Sammeln von Verwaltungsdaten und nicht auf das Betreiben von Daten konzentriert hatten . Aus diesem Grund hat der Angriff den Routinebetrieb an den Docks nicht zum Erliegen gebracht und stattdessen einige öffentliche und geschäftliche Dienste nur für kurze Zeit unterbrochen. Ein anderes Szenario des Angriffs hätte einen anderen, viel weniger günstigen Ausgang haben können.

Beispiellose Reaktion des Finanzministeriums und des FBI

Der weit verbreitete Einsatz von SamSam-Ransomware bei Angriffen auf Krankenhäuser, Bildungseinrichtungen, Unternehmen und wichtige staatliche Stellen im ganzen Land veranlasste das FBI, eine strafrechtliche Untersuchung des fiesen Kryptovirus einzuleiten. Mithilfe des Justiz- und des Finanzministeriums konnten die Ermittlungen den Ursprung der SamSam-Ransomware auf einen iranischen Cybergang zurückführen. Das ist die Bande, die dafür verantwortlich ist, Bitcoin von SamSam-Opfern zu erpressen. Berichten zufolge verließ sich die Bande jedoch auf zwei Personen - Mohammad Ghorbaniyan und Ali Khorashadizadeh -, um das gesammelte Vermögen von BTC in iranische Rials umzuwandeln. Nach Angaben des Finanzministeriums verwendeten die beiden "Facilitatoren" zwei Bitcoin-Adressen, um die Aufgabe zu erledigen:

• Adresse 1: 149w62rY42aZBox8fGcmqNsXUzSStKeq8C.
• Adresse 2: 1AjZPMsnmpdK2Rv9KQNfMurTXinscVro9V.

In den letzten fünf Jahren haben Khorashadizadeh und Ghorbaniyan allein von den beiden oben genannten Adressen 6000 BTC ausgetauscht. Ein bestimmter Teil der Absolventensumme stammt von keinem anderen als der SamSam-Ransomware.

Der konzertierte Angriff auf den Hafen von San Diego und das positive Ergebnis unterstreichen letztendlich die Notwendigkeit, dass jede Organisation im täglichen Kampf gegen die Cybercrime-Industrie angemessene Vorkehrungen trifft. Für letztere gibt es keine Anzeichen für eine baldige Verlangsamung.