US-Bürgermeister wollen Lösegeld bei Ransomware-Befall verweigern

Bürgermeister von US-Kommunen haben sich auf eine Resolution geeinigt, bei Befall der städtischen IT mit Erpressungstrojanern kein Lösegeld zahlen zu wollen. Ransomware-Attacken seien auf dem Vormarsch und Lösegeldzahlungen gäben den kriminellen Machern der Malware nur zusätzlichen Anreiz, heißt es in dem Aufruf, der auf dem jährlichen Treffen der United States Conference of Mayors (USCM) erlassen wurde. Die USCM ist eine überparteiliche Organisation, in der sich die Bürgermeister der über 1400 US-Gemeinden mit mehr als 30.000 Einwohnern über Stadtpolitik austauschen. Bindend ist die Resolution aber nicht.

Dem Text der Resolution zufolge haben seit dem Jahr 2013 insgesamt 170 Bezirke, Städte oder staatliche Einrichtungen in den USA Erfahrungen mit Erpressungstrojanern machen müssen. Allein 2019 seien bislang 22 Vorfälle zu verzeichnen, insgesamt würden Ransomware-Angriffe auf IT von Verwaltung und Behörden zunehmen. Den Vorschlag zur Resolution hatte laut US-Medien Bernard Young eingebracht, der Bürgermeister von Baltimore.

Zahlen oder nicht zahlen?

Baltimore ist eine der US-Städte, die mit Ransomware-Befall ihrer Systeme Schlagzeilen machte. Seit Mai sorgte eine Infektion mit dem Trojaner RobbinHood für erhebliche Probleme. Der Gesamtschaden, was sowohl Aufräumarbeiten aber auch nicht eingezogene Gebühren umfasst, soll sich auf rund 18 Millionen US-Dollar belaufen. Die Erpresser forderten 13 Bitcoins Lösegeld für die Entschlüsselung, nach aktuellem Kurs rund 110.000 Euro, doch man entschied sich nach Beratungen mit dem FBI gegen eine Zahlung. Es gebe keine Garantie, dass die Kriminellen tatsächlich die verschlüsselten Daten freigeben.

Ganz anders sahen die Sache wohl die Gemeinden Lake City und Riviera Beach im Bundesstaat Florida, die im Juni mit hohen Zahlungen für Aufsehen sorgten. Lake City fing sich etwa den Trojaner Emotet per geöffnetem E-Mail-Anhang ein, der dann noch unbemerkt den Trojaner Trickbot und die Ransomware Ryuk aufs System holte. Letztere verbreitete sich dann im Netzwerk und verschlüsselte Daten. Mangels Backups entschied man sich für die Zahlung von 42 Bitcoin (derzeit rund 355.000 Euro). Auch in Riviera Beach sah man keine andere Möglichkeit als 65 Bitcoin zu zahlen (rund 555.000 Euro). Das jüngste Beispiel ist der Bezirk La Porte, der Anfang Juli umgerechnet rund 115.000 Euro an Erpresser zahlte.

Im Falle von Lake City haben die Erpresser tatsächlich einen Key für die Entschlüsselung bereitgestellt, berichtete die New York Times. Die Entschlüsselung nehme nun allerdings erhebliche Zeit in Anspruch. In vielen der Städte, die gezahlt haben, übernimmt eine Versicherung komplett oder zumindest den Löwenanteil der Zahlungen, schreibt die Times. Die Kombination aus schlecht abgesicherter oder veralteter IT mit starkem Versicherungsschutz macht die Gemeinden und Behörden wohl zu attraktiven Zielen für die Erpresser.

Hinweis in eigener Sache:

Im Mai gelang es auch Angreifern, den Trojaner Emotet in Netze der Heise-Gruppe einzuschleusen. Lesen Sie bei c't nach, welche Lehren wir aus dem Trojaner-Befall bislang gezogen haben. In der kostenpflichtigen Aufzeichnung eines Webinars von heise security wird auch ein gestaffeltes Sicherheitskonzept vorgestellt, mit dem sich Unternehmen vor Emotet und Co schützen können. (axk)