Südwestfalen-IT und betroffene Kommunen lehnen Lösegeldzahlung nach Ransomware-Angriff ab

Infolge eines Ransomware-Angriffs Ende Oktober hat der kommunale IT-Dienstleister Südwestfalen-IT (SIT) entschieden, sowie Verhandlungen mit den Erpressern als ebenfalls eine Lösegeldzahlung abzulehnen. Dies wurde in Absprache mit den über 70 betroffenen Kommunen getroffen und von der Polizei Dortmund bestätigt. Die Täter hinter dem Angriff gehören einer Cybercrime-Gruppe namens "Akira" an, ebenso wie aus einem vertraulichen Bericht des Innenministeriums hervorgeht.



Die Angreifer haben die Server der Südwestfalen-IT verschlüsselt und in einer Nachricht im Darknet um eine Kontaktaufnahme gebeten. Die konkrete Lösegeldsumme wurde bisher nicht genannt. Die Gruppe "Akira" ist laut dem IT-Sicherheitsunternehmen Logpoint seit März aktiv und hat sich seitdem zu einer der aktivsten kriminellen Vereinigungen im Bereich der Internet-Erpressung entwickelt.



Der Ransomware-Angriff hatte erhebliche Auswirkungen auf die 74 betroffenen Kommunen. Die Systeme mussten abgeschaltet werden was zu erheblichen Einschränkungen führte. Besonders betroffen waren Kommunen in Süd- & Ost-Nordrhein-Westfalen, insbesondere die Kreise Siegen-Wittgenstein und Olpe, so die Zentral- und Ansprechstelle Cybercrime (ZAC). Einige Dienstleistungen konnten weiterhin teilweise angeboten werden und es wurden bereits alternative Lösungen erarbeitet. Einige Kommunen berichten jedoch von vermehrter Nutzung von Papierdokumenten als Ausweichlösung.



Bisher ist nur die SIT direkt betroffen die Daten des kommunalen IT-Dienstleisters wurden jedoch nicht auf den "Akira"-Seiten im Darknet veröffentlicht. Es ist noch unklar; ob überhaupt Daten abgegriffen wurden und wann die Systeme wieder ans Laufen gebracht werden können.



Die SIT hat bereits eine erste Phase forensischer Analysen der betroffenen Systeme abgeschlossen. Basierend auf den gewonnenen Erkenntnissen sollen nun alle Kundensysteme untersucht werden. Ein erweiterter Krisenstab ist damit beauftragt eine Priorisierung der wiederherzustellenden Fachverfahren durchzuführen. Anschließend kann mit der schrittweisen Wiederherstellung der Systeme begonnen werden und in den nächsten Wochen sollen erste Workarounds eingeführt werden.






Kommentare


Anzeige