Ransomware-Angriff mit Windows Bordmitteln auf rumänische Wasserbehörde: Bitlocker missbraucht

In Rumänien wurde die nationale Wasserbehörde „Apele Române“ Opfer eines großflächigen Ransomware-Angriffs. Betroffen sind Server und Workstations in fast allen regionalen Wasserwirtschaftsämtern. Dafür haben die Angreifer eine Funktion von Windows ausgenutzt.

Eigentlich ist BitLocker ein nützliches Sicherheits-Feature von Microsoft, das fest in Windows integriert ist. Es dient der Vollverschlüsselung von Festplatten, um Daten vor Diebstahl zu schützen, falls ein Gerät verloren geht. Nur wer den passenden Schlüssel oder das Passwort hat, kann auf die Daten zugreifen. Im Normalfall ist es also ein Schutzwerkzeug.

Bei dem Vorfall in Rumänien haben die Hacker dieses Windows-Tool aber einfach umgedreht. Statt eigene Software zur Verschlüsselung der Daten einzuschleusen, wurde das Sicherheits-Feature aktiviert, allerdings mit einem eigenen Passwort. Damit konnten Virenscanner effektiv umgangen werden. Eigentlich sollte BitLocker jedoch Wiederherstellungsschlüssel an verschiedenen Stellen, darunter auch in Microsofts Servern, speichern.

Die Mitteilung der rumänischen Cybersicherheitsbehörde DNSC, enthält keine Informationen darüber, ob die entsprechenden Schlüssel aufgetrieben werden könnten. Es stellte sich aber heraus, dass die Infrastruktur der Behörde bisher nicht an das nationale Schutzsystem für kritische IT angeschlossen war. Dies soll nun beschleunigt nachgeholt werden, während Experten versuchen, die Systeme aus Backups wiederherzustellen.

Für die rumänische Bevölkerung bestand wohl zu keiner Zeit eine Gefahr. Die Steuerung von Wehren, Schleusen und Staudämmen hat im Land wohl immer noch einen menschlichen Faktor. Informationen und Anweisungen werden über Funk und Telefon geteilt. Auch die Trinkwasserversorgung war zu keiner Zeit in Gefahr.