Don’t pay the Cyberman

Wir sollte es doch eigentlich besser wissen, wo doch Chris de Burgh schon klare Worte gefunden hat:

„Whatever you do
Don’t pay the ferryman
Don’t even fix a price
Don’t pay the ferryman
Until he gets you to the other side“

Dennoch geben sich viele Opfer von Cyberangriffen der Hoffnung hin, gestohlene Daten durch eine entsprechende Zahlung „löschen zu lassen“.

Es gibt sie also doch? Die „Ganovenehre“?

Gerade habe ich meine Liste von „Cyberangriffen“ und meine Quellen dazu überarbeitet.

Sofort fällt mir ein bekannter Name auf: „Save the children“.
Mit dieser NGO hatte ich schon zu tun.

Der Beitrag vom Mon 11 Sep 2023 // 22:21 UTC lautet:

Save the Children hit by ransomware, 7TB stolen – A new low, even for these lowlifes
Save the Children has confirmed someone broke into its computer systems, understood to be BianLian.
Save the Children hat bestätigt, dass jemand in ihre Computersysteme eingebrochen ist, wobei es sich um BianLian handeln soll.
(https://www.theregister.com/2023/09/11/bianlian_save_the_children)

Also wirklich – wie können die einfach so eine soziale Unternehmung angreifen?
Oder Krankenhäuser und andere wichtige Bereiche unseres sozialen Lebens?

Dann fällt mir aber noch ein anderer Beitrag auf:

Save the Children Statement on Blackbaud Security Breach
On July 16, Save the Children was notified of a cyberattack at one of our vendors, Blackbaud.
Blackbaud provides software tools and management resources for nonprofits across the world, including Save the Children.
Am 16. Juli wurde Save the Children über einen Cyberangriff auf einen unserer Lieferanten, Blackbaud, informiert.
Blackbaud bietet Software-Tools und Verwaltungsressourcen für gemeinnützige Organisationen auf der ganzen Welt an, darunter auch Save the Children.
(https://www.savethechildren.org/us/about-us/media-and-news/2020-press-releases/save-the-children-statement-on-blackbaud-security-breach)

Die Besonderheit liegt im Detail, weil der zweite Artikel offensichtlich aus dem Jahr 2020 ist. Somit wurde Save the children gleich zweimal in drei Jahren angegriffen.

Damals war ein Dienstleister von Save the children (Blackbaud) angegriffen worden.

However, the hacker was still able to copy data from Blackbaud’s server. Blackbaud subsequently paid a ransom to the hacker to have them delete the data. Unfortunately, Save the Children was one of a number of organizations impacted by this security breach. Additional information on the incident is available on Blackbaud’s website.
Am 16. Juli wurde Save the Children über einen Cyberangriff auf einen unserer Lieferanten, Blackbaud, informiert. Blackbaud bietet Software-Tools und Management-Ressourcen für gemeinnützige Organisationen auf der ganzen Welt, darunter Save the Children.

Blackbaud hat also offensichtlich gezahlt, damit die Angreifer die Daten löschen.

So ähnlich gehen einige Unternehmen vor, denen nach einem erfolgreichen Ransomware Angriff das Wasser bis zum Hals steht.
Wenn man alle Daten verloren hat, lautet die Entscheidung: „friss oder stirb“.

Ich finde es jedoch naiv, anzunehmen dass ein Verbrecher die Daten auch tatsächlich löscht.

Und – wie soll er das beweisen? Mit einem „Löschprotokoll“?

Daten sind Geld und wenn jemand Aufwand treibt um an diese Daten zu gelangen, dann hat er keinen Grund, diese zu löschen.

Im „DarkNet“ findet sich dafür entweder ein Verkäufer oder eine andere Verwertungsmöglichkeit.

Eine weitere Notiz finde ich ebenso spannend:

Blackbaud to pay $3M for misleading ransomware attack disclosure.
Cloud software provider Blackbaud has agreed to pay $3 million to settle charges brought by the Securities and Exchange Commission (SEC), alleging that it failed to disclose the full impact of a 2020 ransomware attack that affected more than 13,000 customers.
Der Cloud-Softwareanbieter Blackbaud hat sich bereit erklärt, 3 Millionen Dollar zu zahlen, um die von der Securities and Exchange Commission (SEC) erhobenen Gebühren zu begleichen, da er die volle Wirkung eines Ransomware-Angriffs von 2020, der mehr als 13.000 Kunden betraf, nicht offengelegt habe.
(https://www.bleepingcomputer.com/news/security/blackbaud-to-pay-3m-for-misleading-ransomware-attack-disclosure/)

Im Kontext einer erfolgreichen Cyberattacke haben Unternehmen natürlich auch Pflichten und wie sich im März 2023 zeigte, scheint das im Falle von Blackbaud noch weiter schief gelaufen zu sein.

Solche Nachrichten lese ich eher selten aber hier wurde ein Unternehmen offensichtlich zu einer Strafe verdonnert, weil man die „United States Securities and Exchange Commission (SEC)“ nicht richtig informiert hat.

Tja – da kommt nach drei Jahren die Börsenaufsicht und wahrscheinlich hat man auch hier die Strafe gezahlt, weil sonst noch ein viel größerer Schaden entstanden wäre.

Das Vertrauen der Anleger bei einem börsennotierten Unternehmen ist ein „Unternehmenswert“, der in den Aufgabenbereich eines CISO fällt.

Ich leite aus dieser Geschichte einige „Learnings“ ab:

    • Verbrecher sind nicht vertrausenswürdig.
      Vielleicht kann man durch Zahlung von Geld seine Daten wiederbekommen.
      Auf eine Löschung würde ich nie vertrauen
    • Eine funktionierende und „abgeschottete“ Datensicherung ist zwingend erforderlich.
      Besonders die „Angreifbarekeit“ sollte man gut prüfen.
      Was nutzt ein aktuelles Backup, wenn die Angreifer es auch verschlüsseln können.
    • Neben direkten gibt es auch indirekte Folgen
      Hat man den Angriff überstanden können sich weitere Parteien melden und Strafen verhängen.
      Der Schaden wird dadurch noch größer.
    • Die richtige Aufarbeitung aller Sachverhalte nach einem Angriff ist nicht trivial.
      Neben eine „Krisenkommunikation“ kann es erforderlich sein, genaue Details zum Angriff und seinen Folgen zu dokumentzieren.
      Auch dazu sind notwendige Prozesse und Verantwortlichkeiten zu planen.

In 14 Tagen werde ich passend dazu ein Seminar „Information Security – Incident & Business Continuity Management“ besuchen.

Ich bin schon sehr gespannt darauf, was ich Neues lernen kann.