Barracuda full logo

Dallas: 3 Angriffe, 2 Angreifer, 1 sehr schlechtes Jahr

Themen:
29. Feb.. 2024
|
Christine Barry

Der Wahltag 2022 war der Auftakt zu einem schlechten Jahr für Dallas und den Bundesstaat Texas. Ransomware-Gruppen griffen vom 8. November bis Ende November 2023 erfolgreich den Dallas Central Appraisal District (DCAD), die Stadt Dallas und das County Dallas an. Diese Angriffe und ihre Auswirkungen beherrschten die Medien und beanspruchten die Arbeitskraft, die Notfallfonds und die Aufmerksamkeit von gewählten Vertretern und Angestellten im öffentlichen Dienst überall.

Regierungsbehörden und öffentliche Einrichtungen in Texas werden seit vielen Jahren angegriffen und die Auswirkungen sind immer noch überall im Bundesstaat zu spüren. 2019 hat Texas als Reaktion auf den koordinierten Angriff der Ransomware-Gruppe REvil den Ausnahmezustand ausgerufen. Die Ransomware-Kampagne von REvil betraf 23 texanische Gemeinden und der Angriff zielte wahrscheinlich auf Dutzende weitere Gemeinden ab. Die Geschichte von „Ruthless REvil“ endete 2021 mit Anklagen und Verhaftungen. Privatpersonen und Unternehmen in Texas haben immer noch mit den Folgen älterer Angriffe zu kämpfen.

Die drei in diesem Beitrag beschriebenen Angriffe sind in Bezug auf Umfang, Kosten und potenzielle Auswirkungen auf die Öffentlichkeit erheblich. 

Dallas Central Appraisal District

Beginnen wir mit dem Ransomware-Angriff auf den Dallas Central Appraisal District (DCAD). Diese Behörde ist „verantwortlich für die Bewertung von Immobilien zum Zwecke der Ad-Valorem-Grundsteuerveranlagung im Namen der 61 lokalen Verwaltungsbehörden im County Dallas“. Zum Zeitpunkt des Angriffs befanden sich fast 850.000 Grundstücke im DCAD-System. Die Behörde hatte sich Anfang Februar 2023 fast vollständig erholt. Allerdings war die mobile Website immer noch offline und es gab einen Rückstau bei bestimmten Arten von Aufgaben.

  • Details des Angriffs: Die Systeme des DCAD wurden am 8. November 2022 kompromittiert. An diesem Tag war in den Vereinigten Staaten gewählt worden, weshalb die IT-Ressourcen möglicherweise auf wahlbezogene Systeme fokussiert waren. Der Angriff störte 300 Desktop-Computer, das E-Mail-System und die DCAD-Website. Die E-Mails der Behörde und die öffentlich zugänglichen Anwendungen auf der Website waren im Dezember wieder funktionsfähig. Die Behörde bestätigte, dass keine städtischen Systeme von diesem Angriff betroffen waren.
  • Bedrohungsakteur: Royal Ransomware war für diesen Angriff verantwortlich. Analysten vermuten, dass der Angriff mit einem Phishing-Angriff auf Mitarbeitende begann.
  • Lösegeld: Der DCAD zahlte 170.000 US-Dollar an die Ransomware-Gruppe, um den Zugang zu seinen Systemen wiederzuerlangen und die Veröffentlichung der gestohlenen Daten zu verhindern. Das Lösegeld wurde aus dem DCAD Restricted Reserve Fund gezahlt, einer „Notfallreserve für den Fall einer Katastrophe, unvorhergesehene Programmausgaben oder steuerliche Anlaufkosten“.  (DCAD 2022 – 2023 Genehmigtes Budget, S. 30)
  • Gestohlene Daten: Der genaue Umfang der gestohlenen und freigegebenen Daten ist nicht bekannt. Der DCAD ist der zweitgrößte Bewertungsbezirk in Texas. 90 % seiner Daten waren online und nicht zugänglich.
  • Gesamtkosten: Der DCAD beauftragte einen Cybersecurity-Berater und einen externen Verhandlungsführer, um den Ransomware-Vorfall zu lösen. Über das Lösegeld hinausgehende Wiederherstellungskosten wurden nicht offengelegt.

Einen Monat nach diesem Angriff kompromittierte Royal den Travis Central Appraisal District (TCAD), der sich ebenfalls in Texas befindet. Anders als im Fall des DCAD soll der Angriff auf den TCAD innerhalb einer Woche behoben worden sein.

 

Stadt Dallas

Die Stadt Dallas (Dallas) ist der Sitz des County Dallas und hat über 1,3 Millionen Einwohner. Sie ist die drittgrößte Stadt in Texas und empfängt jährlich 25,7 Millionen Besucher. Die Ransomware-Gruppe Royal infizierte Anfang April 2023 die Systeme der Stadt mit einem einfachen Domänendienstkonto. So konnte sich der Bedrohungsakteur mit legitimen Drittanbieter-Remote-Management-Tools bei einem Server anmelden und das städtische Netzwerk passieren. Diese Dwell Time zwischen der Infektion des Servers und der stadtweiten Verschlüsselung ermöglichte es Royal, die Systeme der Stadt kennenzulernen, über 1,1 TB an Daten zu stehlen und den stadtweiten Ransomware-Angriff vorzubereiten.  

  • Details des Angriffs: Am 3. Mai 2023 begann die Ransomware Royal, Dateien über das Stadtnetzwerk zu verschlüsseln. Es wurden legitime Microsoft-Systemtools genutzt, um den Angriff zu verbreiten.
  • Bedrohungsakteur: Royal-Ransomware.
  • Lösegeld: Es gibt keinen Hinweis darauf, dass die Stadt ein Lösegeld gezahlt hat. Wenn ein Lösegeld gezahlt wurde, ist der Betrag wahrscheinlich in dem Budget enthalten, das für diesen Vorfall zur Verfügung gestellt wurde.
  • Gestohlene Daten: Der Stadt wurden schätzungsweise 1,169 TB an Daten gestohlen, darunter die persönlichen Informationen von über 30.250 Personen.
  • Gesamtkosten: Die Stadt genehmigte ein Budget von 8,5 Millionen Dollar für die Wiederherstellung durch interne Mitarbeitende und externe Dienstleister.

Die Stadt hat einen ausführlichen Bericht verfasst, der die Details des Angriffs, Hintergrundinformationen zum Bedrohungsakteur sowie die Ereignisse im Zusammenhang mit den Verbots-, Eindämmungs- und Wiederherstellungsbemühungen enthält. Dieser sollte Pflichtlektüre für alle sein, die in den Bereichen technischer Support, Netzwerksicherheit und öffentliche Verwaltung arbeiten. 

 

County Dallas

Das County Dallas hat über 2,6 Millionen Einwohner und ist das neuntgrößte County der Vereinigten Staaten. Die Beamten des County wurden am 19. Oktober 2023 über einen „Cybersecurity-Vorfall“ informiert, etwa eine Woche nachdem die Mitarbeitenden ihn entdeckt hatten. Im Gegensatz zur Stadt Dallas funktionierten die Systeme des County Dallas weiter, und die öffentlichen Dienste wurden nicht unterbrochen.

  • Details des Angriffs: Obwohl der Vorfall schon früher entdeckt worden war, gilt die Benachrichtigung der Beamten von Dallas County am 19. Oktober allgemein als das Startdatum des Angriffs. Am 30. Oktober gab das County bekannt, dass ein externes Sicherheitsunternehmen damit beauftragt wurde, eine vollständige forensische Untersuchung durchzuführen. Das County gab am nächsten Tag weitere Details bekannt. Versuche der Datenexfiltration seien unterbrochen und die Verschlüsselung von Dateien und Systemen verhindert worden. Der Angriff hat kein „offizielles“ Enddatum, aber die Erklärung vom 31. Oktober deutet darauf hin, dass der Vorfall effektiv eingedämmt wurde.
  • Bedrohungsakteur: Die Ransomware-Gruppe Play behauptet, für den Angriff verantwortlich zu sein. Play ist der Bedrohungsakteur, der für den Angriff auf die Stadt Oakland verantwortlich ist.
  • Lösegeld: Es wird nicht erwähnt, dass Dallas County ein Lösegeld gezahlt hat.
  • Gestohlene Daten: Wie bei den meisten doppelten Erpressungsangriffen drohte Play mit der Veröffentlichung sensibler Daten, die bei dem Angriff gestohlen wurden. Das County hat die Drohung zwar bestätigt, aber offenbar kein Lösegeld gezahlt. Bei den Daten soll es sich größtenteils um „Informationen zu Strafsachen handeln, auf die über Anfragen zu öffentlichen Aufzeichnungen zugegriffen werden kann“.
  • Gesamtkosten: Die Gesamtkosten des Angriffs wurden nicht angegeben. Das County beauftragte ein externes Sicherheitsunternehmen mit der Unterstützung bei der Behebung und Untersuchung.

 

Im Gegensatz zur Stadt Dallas scheint der Bundesstaat den Angriff unterbrochen und den größten Teil des Schadens verhindert zu haben. Die Offenlegung von Datenschutzverletzungen dauert jedoch oft Monate oder Jahre. Eine Untersuchung mag also noch andauern und die Benachrichtigung möglicherweise später erfolgen. Da es sich um eine strafrechtliche Untersuchung handelt, werden die Informationen bis zum Abschluss der Ermittlungen vertraulich behandelt. Obwohl die Behörden glauben, den Angriff effektiv eingedämmt zu haben, fiel das Bundesland am 17. November 2024 einem Rechnungsbetrug in Höhe von 2,4 Millionen Doller zum Opfer. Dem Bundeslang zufolge hat dies nichts mit dem Angriff vom 19. Oktober zu tun, der Bedrohungsakteur ist jedoch unbekannt.

Schützen Sie Ihr Unternehmen

Barracuda bietet umfassenden Ransomware-Schutz. Unsere Cybersecurity-Plattform schützt Ihre E-Mails, Netzwerke, Anwendungen und Daten. Besuchen Sie unsere Website, um zu sehen, wie es funktioniert. 

 

 

Christine Barry

Christine Barry ist Senior Chief Blogger und Social Media Manager bei Barracuda.  Bevor sie zu Barracuda kam, war Christine über 15 Jahre lang als Außendiensttechnikerin und Projektmanagerin für K12- und KMU-Kunden tätig.  Sie hat mehrere Zugangsdaten für Technologie und Projektmanagement, einen Bachelor of Arts und einen Master of Business Administration. Sie ist Absolventin der University of Michigan.

Vernetzen Sie sich hier auf LinkedIn mit Christine.

Verwandte Beiträge:
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Cyber crooks getting younger — and more dangerous
Cyber crooks getting younger — and more dangerous
Lazarus Group: A criminal syndicate with a flag
Lazarus Group: A criminal syndicate with a flag
 Systemschock: Die Ransomware Storm-0501 verlagert sich in die Cloud
Systemschock: Die Ransomware Storm-0501 verlagert sich in die Cloud
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.