Die Travel Management Company CWT zahlt 4,5 Millionen US-Dollar für das Entsperren ihrer Dateien
Es gibt unzählige Studien, die ein breites Spektrum verschiedener Methoden verwenden, um die Kosten eines Ransomware-Angriffs für das Opfer zu berechnen. Diese Forschungsarbeiten berücksichtigen eine Vielzahl von Faktoren, aber das Bild kann nie so klar sein, wie es ist, wenn Sie sehen, wie sich der Angriff aus erster Hand entfaltet. Letzte Woche Jack Stubbs Reuters erhielt auf diese so nah wie möglich. Er hat Screenshots in die Hände bekommen, die die Kommunikation zwischen Ransomware-Betreibern und Mitarbeitern eines Reisemanagement-Unternehmens namens CWT zeigen, und er kann uns jetzt sagen, dass dieser Angriff zumindest rein monetär 4,5 Millionen US-Dollar gekostet hat.
Table of Contents
Ragnar Locker trifft CWT schwer
Überraschenderweise ist CWT nicht besonders daran interessiert, über den Vorfall zu sprechen. In einer Erklärung gegenüber Reuters erklärte das Unternehmen, dass nach einer vorübergehenden Abschaltung aller Systeme alles wieder normal sei. Die Untersuchung befand sich in einem frühen Stadium, als das Unternehmen letzte Woche mit Reuters sprach, aber anscheinend gab es damals keine Hinweise darauf, dass Kundeninformationen offengelegt wurden. Jack Stubbs 'Bericht legt jedoch nahe, dass der Vorfall viel schwerwiegender war.
Demnach wurde das Reisemanagementunternehmen von der Ragnar Locker Ransomware getroffen. Wie immer hinterließ die Ransomware nach der Verschlüsselung zahlreicher wertvoller Informationen eine Notiz, die eine Möglichkeit zur Kontaktaufnahme mit den für den Angriff verantwortlichen Cyberkriminellen enthielt. Die Kommunikation erfolgte über eine Instant Messaging-Plattform, und die Screenshots zeigen, dass die CWT-Vertreter zunächst nicht ganz sicher waren, was passiert war. Die Gauner sagten ihnen, sie hätten die Dateien auf über 30.000 mit dem CWT-Netzwerk verbundenen Geräten verschlüsselt und Kopien von Abschlüssen, persönlichen Daten der Mitarbeiter und anderen sensiblen Dokumenten gestohlen.
Mit anderen Worten, CWT musste nicht nur seine Dateien entsperren, um den normalen Betrieb wieder aufzunehmen, sondern sich auch Sorgen machen, dass Tonnen von sensiblen Daten von den Ransomware-Betreibern durchgesickert sind.
Die Gauner zeigen etwas Verständnis
Um seine Daten zurückzugewinnen und ein Leck zu verhindern, musste CWT Bitcoins im Wert von 10 Millionen US-Dollar bezahlen. Die Gauner wiesen zu Recht darauf hin, dass das Lösegeld wahrscheinlich erheblich niedriger sein wird als die Kosten, die mit dem Reputationsschaden und den Klagen verbunden sind, die sich aus der Enthüllung von Informationen ergeben könnten, obwohl sie eine ernsthafte Geldsumme verlangen.
CWT hat nicht offiziell angekündigt, ob es Backups seiner Daten aufbewahrt oder nicht, aber die von Reuters veröffentlichten Screenshots zeigen, dass das Unternehmen von Anfang an bereit war, so ziemlich zusammenzuarbeiten. Der CWT-Vertreter wies jedoch darauf hin, dass 10 Millionen US-Dollar eine große Herausforderung sind, insbesondere inmitten einer Pandemie, die der Reisebranche beispiellosen Schaden zufügt.
Bemerkenswerterweise zeigten die Ransomware-Betreiber ein gewisses Verständnis und stimmten zu, einen akzeptableren Preis auszuhandeln. Schließlich entschieden sie sich für 4,5 Millionen Dollar.
Die Konsequenzen des Geschäfts mit den Gaunern
CWT hat noch keine offizielle Erklärung zu dem Angriff veröffentlicht, aber der Bericht von Reuters legt nahe, dass die Zahlung verarbeitet wurde und das Unternehmen seinen Entschlüsselungsschlüssel erhalten hat. Es ist offensichtlich, dass Verhandlungen mit Kriminellen und die Zahlung des Lösegelds immer das letzte Mittel sein sollten, und wir sind uns ziemlich sicher, dass CWT alle anderen Optionen ausgeschöpft hat, bevor wir uns bereit erklärt haben, die Bitcoins zu übertragen. Trotzdem zeigt die Tatsache, dass das Unternehmen so schwer getroffen wurde, dass es nicht sehr gut auf einen Ransomware-Angriff vorbereitet war, und dies wird sich zwangsläufig auf seinen Ruf auswirken. Es gibt noch ein weiteres potenzielles Problem.
Während der Verhandlungen versprachen die Gauner, dass sie nach Erhalt des Lösegelds ein Entschlüsselungswerkzeug senden und auch die Informationen löschen werden, die sie CWT gestohlen haben. Leider ist eine anonyme Chat-Konversation kein rechtsverbindliches Dokument, insbesondere wenn die Person am anderen Ende der Tastatur ihren Lebensunterhalt mit Cyberkriminalität verdient. Die Gauner haben das Entschlüsselungswerkzeug gesendet, aber niemand kann mit Sicherheit sagen, ob sie ihr Versprechen gehalten und die gestohlenen Informationen gelöscht haben. CWT hat keine andere Wahl, als ihr Wort dafür zu nehmen, was, wie man argumentieren könnte, nicht immer die beste Strategie ist.
