{"id":251489,"date":"2021-03-27T09:24:01","date_gmt":"2021-03-27T08:24:01","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=251489"},"modified":"2021-08-09T15:53:11","modified_gmt":"2021-08-09T13:53:11","slug":"tu-darmstadt-opfer-der-ragnarok-ransomware","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/03\/27\/tu-darmstadt-opfer-der-ragnarok-ransomware\/","title":{"rendered":"TU-Darmstadt Opfer der Ragnarok Ransomware?"},"content":{"rendered":"

[English<\/a>]Ist die TU-Darmstadt Opfer eines Ragnarok-Ransomware-Befalls geworden? Das legen zumindest Informationen nahe, die mir von einem Sicherheitsforscher zugegangen sind.<\/p>\n

<\/p>\n

\"\"Bei einer Websuche nach den Begriffen TU-Darmstadt und Ragnarok oder Ransomware bin ich nicht f\u00fcndig geworden. Aber ein Sicherheitsforscher hat mir per Mail eine entsprechende Informationen zukommen lassen (und ich habe die Info auf einer Webseite gefunden, die \u00fcber Hacks berichtet – wobei ich die mal nicht verlinke, da die Seite penetrant versucht, eine\u00a0 Chrome-Erweiterung zu installieren).<\/p>\n

Ragnarok-Gruppe ver\u00f6ffentlicht Daten<\/h2>\n

Vom Sicherheitsanbieter EmsiSoft habe ich einen Screenshot der Leak-Seite der Ragnarok-Gruppe erhalten. Hier ein Auszug aus diesem Screenshot vom 25. M\u00e4rz 2021, der die TU-Darmstadt<\/a> beschreibt und einen Auszug von Daten auflistet, die von einer Freigabe (Laufwerk Z) eines Windows-Systems abgezogen wurden.<\/p>\n

<\/p>\n

Ich habe mir die Daten des mir vorliegenden Screenshots angesehen. Es handelt sich um eine Verzeichnisauflistung einer Netzwerkfreigabe, wo Dateien von Studenten, Doktoranden und des Sekretariats aufgelistet sind. Der Dateiliste nach tippe ich darauf, dass der Ransomware-Befall auf einem Client in einem Labor des Fachbereichs Chemie aufgetreten ist. Denn dort finden sich in Dokumentnamen Hinweise auf MC, was f\u00fcr Makromolekulare<\/a> Chemie stehen d\u00fcrfte.<\/p>\n

Die Technische Universit\u00e4t Darmstadt<\/a> hat 4.974 Angestellte und um die 25.000 Studenten. Der Jahresetat lag 2019 bei 453,2 Millionen Euro. Die Ransomware-Gruppe schreibt auf ihrer Seite aber etwas von 275,81 Millionen US-Dollar.<\/p><\/blockquote>\n

Schaue ich mir die ver\u00f6ffentlichten Daten und das Budget der TU an, d\u00fcrften die Chancen der Ragnarok-Gruppe, ein L\u00f6segeld zu kassieren, sehr gering sein. Ich kenne nicht den gesamten Umfang der erbeuteten Dokumente – aber was ich gesehen habe, ist nicht so sonderlich interessant. Es ist h\u00f6chstens f\u00fcr die Doktoranden oder Studierende unsch\u00f6n, wenn Dateien verschl\u00fcsselt werden. Zudem deutet es sich an, dass der Ransomware-Befall sehr begrenzt gewesen sein muss – auf den Webseiten der TU habe ich jedenfalls nichts in Bezug auf den Ransomware-Befall finden k\u00f6nnen.<\/p>\n

Hintergrund zur Ragnarok-Ransomware<\/h2>\n

Der Name der Ransomware-Familie ist den nordischen Sprachen entlehnt – die Malware verschl\u00fcsselt Dateien mit den Erweiterungen .thor- oder .ragnarok_cry (siehe auch (gel\u00f6scht)). Ich hatte im Januar 2020 \u00fcber die Ransomware im Beitrag Ragnarok Ransomware zielt auf Citrix ADC, stoppt Defender<\/a> berichtet. Diese Ransomware war die erste, die auf angreifbare Citrix ADC-Installationen abzielte. Die Malware zeichnete sich auch dadurch aus, dass sie den Defender unter Windows deaktivieren konnte.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Ist die TU-Darmstadt Opfer eines Ragnarok-Ransomware-Befalls geworden? Das legen zumindest Informationen nahe, die mir von einem Sicherheitsforscher zugegangen sind.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-251489","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/251489","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=251489"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/251489\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=251489"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=251489"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=251489"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}