PYSA-Trojaner

Angriff der Erpressungs-Hacker trifft Universität Liechtenstein ins Mark

Uhr
von Oliver Wietlisbach (Watson)

An der Universität Liechtenstein stehen die meisten IT-Systeme seit Montag still. Internet-Erpresser haben sich Zugang verschafft. Die Uni kann einen Datenklau nicht ausschliessen.

(Source: lassedesignen / Fotolia.com)
(Source: lassedesignen / Fotolia.com)

Nun hat's auch die Universität Liechtenstein erwischt: Die kleine Universität mit rund 800 Studierenden und 200 Mitarbeiterinnen und Mitarbeitern wurde in der Nacht von Sonntag auf Montag Opfer eines Ransomware-Angriffs. Dabei wurden die IT-Systeme von den Angreifern mit einem Verschlüsselungs-, bzw. Erpressungstrojaner lahmgelegt. Dies berichtet das "Liechtensteiner Volksblatt".

"Derzeit wird mit grösster Sorgfalt analysiert, welche IT-Systeme am Campus betroffen sind. Diese sind zur Zeit nur eingeschränkt verfügbar", schreibt die Universität. Eine Anfrage von watson blieb bislang unbeantwortet.

Ein Ransomware-Angriff ist eine besonders heimtückische Cyber-Attacke, bei der die Angreifer mittels Schadprogramm die IT-Systeme und Daten ihrer Opfer verschlüsseln und ein Lösegeld in Kryptowährung verlangen. Andernfalls, so die Drohung, werden die gestohlenen Daten veröffentlicht.

Die Universität informierte bereits am Montag über den Hackerangriff und schrieb: "Es kann nicht ausgeschlossen werden, dass im Zuge dieser Malware-Attacke auch Daten abgeflossen sind."

Die meisten IT-Systeme sind weiter offline

Zunächst war nur bekannt, dass die Webseite nicht erreichbar ist und die Mitarbeiter keinen Zugriff auf ihre E-Mail-Konten haben. Am Mittwoch informierte die Universitätsleitung weiter über den Hackerangriff und langsam zeigt sich das Ausmass des Cyberangriffs: Offenbar sind diverse IT-Systeme betroffen: "Darunter auch alle noch nicht in die Cloud ausgelagerten E-Mail-Konten, die Webseite der Universität mit den Onlineanmeldungen zu Studium und Prüfungen und auch die digitale Schliessanlage des Gebäudes", schreibt das "Volksblatt".

Zwar konnte am Dienstag eine provisorische Webseite eingerichtet werden, um die Studierenden zu informieren, aber die Uni ist erst seit Mittwoch wieder per Telefon und E-Mail erreichbar. Andere IT-Systeme sind weiterhin nur eingeschränkt verfügbar. Aktuell ist unklar, wann die Systeme wieder hergestellt werden können. Ein Team von externen Spezialisten sowie Mitarbeiterinnen und Mitarbeiter des Lehrstuhls für Cybersicherheit seien im Einsatz.

An der Uni Liechtenstein wird seit einigen Jahren ein Kompetenzzentrum für Cyber-Sicherheit aufgebaut. "Universität Liechtenstein gewinnt weltweit führenden Experten für Internetsicherheit", twitterte die Universität Anfang 2018. Das Institut für Wirtschaftsinformatik veröffentlichte 2020 eine Studie zum Thema Cybersicherheit und schrieb: "Jedes zweite Unternehmen in Liechtenstein berichtet bereits von Cyber-Angriffen". Nun gehört man selbst zum Club.

Hacker nutzen bekannten Erpressungs-Trojaner "Protect Your System, Amigo"

Offen ist nach wie vor, wer für diesen Ransomware-Angriff verantwortlich ist. "Der Universität Liechtenstein sind diesbezüglich keine Forderungen bekannt. Strafanzeige wurde erstattet, die Polizei ermittelt", schreibt die Uni.

Die Angreifer nutzten den Erpressungs-Trojaner PYSA (Protect Your System, Amigo), der zuvor schon bei Ransomware-Angriffen gegen US-Schulen eingesetzt wurde. Dies sagte Rektor Markus Jäger dem "Volksblatt".

Recherchen zeigen, dass weltweit bislang mindestens 190 Bildungseinrichtungen, Behörden und Firmen Opfer von PYSA wurden, die effektive Zahl könnte allerdings noch weit höher liegen. Auf der Darknet-Seite von PYSA sind bislang keine gestohlenen Daten der Universität Liechtenstein aufgetaucht, was kein Grund zur Entwarnung ist. Üblicherweise lassen Ransomware-Akteure ihre Opfer einige Tage schmoren und publizieren dann erste Daten, um ihrer Lösegeldforderung Nachdruck zu verleihen.

Die Erpresserbanden nehmen sich oft kleinere und mittelgrosse Unternehmen und Gemeinden, aber auch Schulen und Universitäten vor, da diese meist nur über kleine Sicherheitsteams verfügen und dringend auf die verschlüsselten und/oder gestohlenen Daten angewiesen sind.

Erpresser sichern sich doppelt ab

Bei Ransomware-Angriffen sichern sich die Erpresser normalerweise doppelt ab. Denn nicht selten können die Opfer ihre Daten mit Backups oder Decryption-Tools wiederherstellen. In diesem Fall drohen die Angreifer damit, die erbeuteten Daten nach einer Frist von meist einigen Tagen zu veröffentlichen oder im Darknet zu verkaufen. Finden die Angreifer in den gestohlenen Daten sensible Informationen über Dritte (Geschäftspartner, Kunden), werden teils auch diese erpresst.

In der Schweiz wurden zuletzt Comparis und die westschweizer Firma Matisa Opfer von Ransomware-Angriffen. Comparis zahlte ein Lösegeld. Die in den Medien kolportierte Summe von 400'000 US-Dollar wollte das Unternehmen indes nicht kommentieren.

Die Universität Liechtenstein könnte Glück im Unglück haben: Das neue Semester fängt erst am 1. September an. Allenfalls laufen die Systeme bis dann wieder.

Dieser Beitrag ist zuerst bei watson.ch erschienen.

Webcode
DPF8_226447