Bildrechte
NASA
Eine führende medizinische Forschungseinrichtung, die an einer Heilung für Covid-19 arbeitet, hat zugegeben, dass sie Hackern nach einer verdeckten Verhandlung, die von BBC News bezeugt wurde, ein Lösegeld in Höhe von 1,14 Mio. USD (910.000 GBP) gezahlt hat.
Die kriminelle Netwalker-Bande griff am 1. Juni die University of California in San Francisco (UCSF) an.
IT-Mitarbeiter haben Computer aus dem Netz genommen, um die Verbreitung von Malware zu stoppen.
Und ein anonymer Hinweis ermöglichte es BBC News, die Lösegeldverhandlungen in einem Live-Chat im dunklen Internet zu verfolgen.
Experten für Cybersicherheit sagen, dass diese Art von Verhandlungen derzeit auf der ganzen Welt stattfinden – manchmal für noch größere Beträge – gegen den Rat von Strafverfolgungsbehörden, darunter das FBI, Europol und das britische National Cyber Security Centre.
Allein Netwalker wurde in den letzten zwei Monaten mit mindestens zwei weiteren Ransomware-Angriffen auf Universitäten in Verbindung gebracht.
Experten sagen, dass diese Art von Verhandlungen jetzt auf der ganzen Welt stattfinden
Auf den ersten Blick sieht die Dark-Web-Homepage wie eine Standard-Kundendienst-Website aus, mit einem Tab mit häufig gestellten Fragen (FAQ), einem Angebot eines "kostenlosen" Beispiels seiner Software und einer Live-Chat-Option.
Es gibt aber auch einen Countdown-Timer, der bis zu einem Zeitpunkt abläuft, an dem die Hacker entweder den Preis ihres Lösegelds verdoppeln oder die Daten löschen, die sie mit Malware verschlüsselt haben.
UCSF wurde angewiesen, sich anzumelden – entweder per E-Mail oder per Lösegeld auf gehackten Computerbildschirmen – und erhielt die folgende Nachricht, die am 5. Juni veröffentlicht wurde.
Sechs Stunden später bat die Universität um mehr Zeit und um die Entfernung von Details des Hacks aus Netwalkers öffentlichem Blog.
Als die Hacker feststellten, dass UCSF Milliarden pro Jahr verdiente, forderten sie 3 Millionen Dollar
Der UCSF-Vertreter, der möglicherweise ein externer Verhandlungsführer ist, erklärte jedoch, dass die Coronavirus-Pandemie für die Universität "finanziell verheerend" gewesen sei, und bat sie, 780.000 US-Dollar zu akzeptieren.
Nach einem Tag hin und her Verhandlungen sagte UCSF, sie habe alle verfügbaren Gelder zusammengetragen und könne 1,02 Millionen Dollar zahlen – aber die Kriminellen weigerten sich, unter 1,5 Millionen Dollar zu fallen.
Stunden später kam die Universität mit Einzelheiten darüber zurück, wie sie mehr Geld beschafft hatte, und einem endgültigen Angebot von 1.140.895 USD.
Am nächsten Tag wurden 116,4 Bitcoins in die elektronischen Geldbörsen von Netwalker übertragen und die Entschlüsselungssoftware an UCSF gesendet.
UCSF unterstützt das FBI nun bei seinen Ermittlungen und arbeitet an der Wiederherstellung aller betroffenen Systeme.
Es sagte gegenüber BBC News: "Die Daten, die verschlüsselt wurden, sind wichtig für einige der akademischen Arbeiten, die wir als Universität für das Gemeinwohl betreiben.
"Wir haben daher die schwierige Entscheidung getroffen, einen Teil des Lösegelds (ca. 1,14 Millionen US-Dollar) an die Personen zu zahlen, die hinter dem Malware-Angriff stehen, als Gegenleistung für ein Tool zum Entsperren der verschlüsselten Daten und zur Rückgabe der erhaltenen Daten.
"Es wäre ein Fehler anzunehmen, dass alle in den Verhandlungen gemachten Aussagen und Behauptungen sachlich korrekt sind."
Bildrechte
iBrave
Die Hacker und die Universität verhandelten in einem Live-Chat im dunklen Netz
Aber Jan Op Gen Oorth von Europol, der ein Projekt namens No More Ransom betreibt, sagte: "Opfer sollten das Lösegeld nicht bezahlen, da dies Kriminelle finanziert und sie ermutigt, ihre illegalen Aktivitäten fortzusetzen.
"Stattdessen sollten sie es der Polizei melden, damit die Strafverfolgung das kriminelle Unternehmen stören kann."
Brett Callow, ein Bedrohungsanalyst beim Cyber-Sicherheitsunternehmen Emsisoft, sagte: "Unternehmen in dieser Situation haben keine gute Option.
"Selbst wenn sie die Nachfrage bezahlen, erhalten sie einfach ein kleines Versprechen, dass die gestohlenen Daten gelöscht werden.
"Aber warum sollte ein rücksichtsloses kriminelles Unternehmen Daten löschen, die es möglicherweise zu einem späteren Zeitpunkt weiter monetarisieren kann?"
Die meisten Ransomware-Angriffe beginnen mit einem Sprengstoff-EmaiI. Untersuchungen zufolge verwenden kriminelle Banden zunehmend Tools, mit denen über einen einzigen Download auf Systeme zugegriffen werden kann. Allein in der ersten Woche dieses Monats haben die Cyber-Sicherheitsanalysten von Proofpoint mehr als eine Million E-Mails mit einer Vielzahl von Phishing-Ködern gesehen, darunter gefälschte Covid-19-Testergebnisse, die an Unternehmen in den USA, Frankreich, Deutschland und Griechenland gesendet wurden und Italien.
Unternehmen werden aufgefordert, ihre Daten regelmäßig offline zu sichern.
Ryan Kalember von Proofpoint sagte jedoch: "Universitäten können herausfordernde Umgebungen für IT-Administratoren sein.
"Die sich ständig ändernde Studentenbevölkerung in Verbindung mit einer Kultur der Offenheit und des Informationsaustauschs kann im Widerspruch zu den Regeln und Kontrollen stehen, die häufig erforderlich sind, um Benutzer und Systeme wirksam vor Angriffen zu schützen."