Der Vorfall
Am 10. Januar 2023 traf ein Ransomware-Angriff den britischen Postdienst Royal Mail. Der Angriff, durchgeführt von einem Affiliate der LockBit-Ransomware-Gruppe unter Verwendung von LockBit Black (LockBit 3.0), legte den gesamten internationalen Versandservice lahm. 11.500 Postfilialen im Vereinigten Königreich konnten keine Briefe und Pakete mehr ins Ausland senden.
Der Angriff traf die Systeme des Royal Mail Distribution Centre in Nordirland (Belfast) besonders hart. Die Drucker im Verteilzentrum begannen unkontrolliert Lösegeldforderungen auszudrucken – ein typisches Verhalten von LockBit, das auf maximale psychologische Wirkung abzielte. Die orangefarbenen Ausdrucke enthielten die LockBit-Lösegeldforderung zusammen mit einer Drohung, die gestohlenen Daten zu veröffentlichen.
LockBit forderte zunächst 80 Millionen US-Dollar (damals rund 66 Millionen Pfund) – eine der höchsten Lösegeldforderungen, die je an ein einzelnes Unternehmen gestellt wurden. Royal Mail weigerte sich zu zahlen. Die darauf folgenden Verhandlungen zwischen Royal Mail und LockBit wurden später von LockBit selbst veröffentlicht und gaben einen seltenen Einblick in die Verhandlungstaktik einer Ransomware-Gruppe. Royal Mail bezeichnete die Forderung als „absurd", LockBit senkte den Preis schrittweise auf 40 Millionen Dollar – Royal Mail zahlte dennoch nicht.
Die Folgen waren gravierend: Der internationale Versand war über sechs Wochen lang eingeschränkt. Erst am 21. Februar 2023 konnte Royal Mail einen eingeschränkten internationalen Service wieder aufnehmen. Erst Mitte März war der volle Betrieb wiederhergestellt. Hunderttausende Pakete und Briefe waren verspätet. Unternehmen, die auf Royal Mail für ihren internationalen Versand angewiesen waren – insbesondere kleine Online-Händler –, erlitten erhebliche finanzielle Verluste. Royal Mail meldete in seinem Jahresbericht für 2022/23 außerordentliche Kosten von 10 Millionen Pfund allein für die Incident Response.
LockBit veröffentlichte schließlich einen Teil der gestohlenen Daten, darunter Verhandlungsprotokolle, interne Dokumente und Mitarbeiterdaten.
Wie der Angriff funktionierte
Der LockBit-Angriff auf Royal Mail folgte dem typischen mehrstufigen Muster moderner Ransomware-Operationen:
Stufe 1 – Initialer Zugang: Die genaue Methode des initialen Zugangs wurde von Royal Mail nicht öffentlich bestätigt. LockBit-Affiliates nutzen typischerweise eine Kombination aus Phishing-E-Mails, Ausnutzung von Schwachstellen in öffentlich erreichbaren Diensten (insbesondere RDP-Server, VPN-Gateways und Citrix-Systeme) sowie gestohlene Zugangsdaten, die auf Untergrundforen gekauft oder über Info-Stealer wie RedLine beschafft wurden.
Stufe 2 – Erkundung und Privilegieneskalation: Nach dem initialen Zugang erkundeten die Angreifer das interne Netzwerk. Sie identifizierten kritische Systeme, Backup-Server und Domain Controller. Mit Tools wie Mimikatz, BloodHound und Cobalt Strike escalierten sie ihre Berechtigungen, bis sie Domain-Admin-Rechte erlangten.
Stufe 3 – Deaktivierung der Sicherheitsmechanismen: Bevor die Verschlüsselung begann, deaktivierten die Angreifer systematisch Sicherheitstools: Virenscanner wurden abgeschaltet, Endpoint Detection and Response (EDR)-Systeme manipuliert oder deinstalliert, Windows Event Logs gelöscht und Volumenschattenkopien vernichtet.
Stufe 4 – Datenexfiltration: Vor der Verschlüsselung kopierten die Angreifer sensible Daten aus dem Royal-Mail-Netzwerk auf ihre eigenen Server – die „Double Extortion"-Strategie. Selbst wenn Royal Mail aus Backups wiederherstellen konnte, drohte die Veröffentlichung vertraulicher Daten als zusätzliches Druckmittel.
Stufe 5 – Massenhafte Verschlüsselung: LockBit Black verschlüsselte die Systeme im Verteilzentrum und darüber hinaus. Die Ransomware war für Geschwindigkeit optimiert – LockBit 3.0 nutzte Multithreading und partielle Verschlüsselung (nur Teile jeder Datei wurden verschlüsselt), um maximalen Schaden in minimaler Zeit anzurichten. Die Drucker im Verteilzentrum druckten automatisch die Lösegeldforderung aus.
Stufe 6 – Erpressung und Verhandlung: LockBit eröffnete einen Verhandlungskanal über das Tor-Netzwerk. Die Forderung: 80 Millionen Dollar, später reduziert auf 40 Millionen. Als Royal Mail nicht zahlte, veröffentlichte LockBit Teile der gestohlenen Daten auf ihrer „Leak Site".
Warum Virenscanner versagten
Der LockBit-Angriff auf Royal Mail illustriert, warum moderne Ransomware-Operationen selbst gut geschützte Organisationen überwinden:
LockBit 3.0 (Black) war die am weitesten entwickelte Version der LockBit-Ransomware. Sie nutzte Anti-Analyse-Techniken wie Code-Verschleierung, dynamische API-Auflösung und verschlüsselte Strings, um statische Analyse zu verhindern. Jedes Affiliate erhielt eine individuell konfigurierte Version, was die Signaturerkennung erschwerte.
Die Angreifer deaktivierten Sicherheitstools aktiv, bevor sie die Verschlüsselung starteten. Dies ist eine Standardprozedur bei modernen Ransomware-Angriffen: Wenn Du die Sicherheitssoftware ausschalten kannst, bevor Du den eigentlichen Angriff durchführst, spielt es keine Rolle, wie gut sie ist.
Die Dauer des Angriffs – von der initialen Kompromittierung bis zur Verschlüsselung vergingen wahrscheinlich Tage bis Wochen – zeigt, dass die Angreifer genug Zeit hatten, alle Sicherheitsmaßnahmen zu analysieren und zu umgehen. EDR-Systeme, die auffälliges Verhalten erkennen sollten, wurden in der Erkundungsphase identifiziert und gezielt neutralisiert.
Die „Double Extortion"-Strategie machte selbst Backups zu einer unvollständigen Lösung: Auch wenn Royal Mail alle verschlüsselten Systeme aus Backups wiederherstellen konnte, blieb die Drohung der Datenveröffentlichung bestehen.
So hätte Deep Freeze geschützt
Deep Freeze hätte die Auswirkungen des LockBit-Angriffs auf Royal Mail auf mehreren Ebenen drastisch reduziert:
Verschlüsselte Arbeitsplätze heilen sich selbst: Die Rechner in den 11.500 Postfilialen und im Verteilzentrum Belfast hätten nach einem Neustart ihren Originalzustand wiederhergestellt. Keine Verschlüsselung, keine Lösegeldforderung, keine Ausfallzeit. Die Drucker hätten keine Erpresserbriefe ausgedruckt, weil die Ransomware gar nicht mehr vorhanden gewesen wäre.
Sechs Wochen Ausfall – reduziert auf Minuten: Royal Mail brauchte über sechs Wochen, um den internationalen Versand vollständig wiederherzustellen. Mit Deep Freeze auf den Arbeitsplatzrechnern hätte ein Neustart genügt, um die Filialsysteme wieder in Betrieb zu nehmen. Statt wochenlanger Wiederherstellung wären es Minuten gewesen.
Die Deaktivierung von Sicherheitstools wird rückgängig gemacht: LockBit deaktivierte Virenscanner und EDR-Systeme als Vorbereitung auf die Verschlüsselung. Auf einem eingefrorenen System werden auch diese Änderungen beim Neustart zurückgesetzt. Die Sicherheitstools wären wieder aktiv, als wäre nichts geschehen.
80 Millionen Dollar Lösegeld – irrelevant: Wenn die Verschlüsselung beim nächsten Neustart verschwindet, gibt es keinen Grund zu zahlen. Die gesamte Verhandlung, die Drohungen, der Druck – wirkungslos. Deep Freeze verwandelt eine existenzielle Krise in ein triviales Problem.
Laterale Bewegung wird eingedämmt: Die Angreifer nutzten kompromittierte Arbeitsplätze als Sprungbretter, um sich durch das Netzwerk zu bewegen. Wenn diese Sprungbretter bei jedem Neustart verschwinden, wird die laterale Bewegung massiv erschwert. Die Angreifer müssten nach jedem Reboot eines kompromittierten Rechners von vorne beginnen.
Natürlich erfordert eine Organisation wie Royal Mail ein umfassendes Sicherheitskonzept, das weit über den Schutz von Arbeitsplatzrechnern hinausgeht. Server, Netzwerkinfrastruktur und Datenbanken erfordern zusätzliche Maßnahmen. Aber die unmittelbarste Auswirkung – der wochenlange Ausfall des Filialbetriebs, das Drucken von Lösegeldforderungen, die Lahmlegung der Arbeitsplätze – hätte mit Deep Freeze in Minuten statt Wochen behoben werden können.
Die Lehre
- Kritische Infrastruktur ist ein bevorzugtes Ziel. Ein Postdienst, der den internationalen Versand eines ganzen Landes abwickelt, steht unter maximalem Druck, schnell zu zahlen. Deep Freeze nimmt diesen Druck, weil die Wiederherstellung trivial wird.
- 80 Millionen Dollar Lösegeld gegen einen Neustart – das Kosten-Nutzen-Verhältnis ist eindeutig. Jeder Euro, der in Deep Freeze investiert wird, spart potenziell Millionen an Lösegeldforderungen und Wiederherstellungskosten.
- Ransomware-Gruppen deaktivieren Deine Schutzprogramme. Wenn Dein gesamtes Sicherheitskonzept auf Software basiert, die sich abschalten lässt, hast Du kein Sicherheitskonzept. Deep Freeze wird auf Firmware-Ebene konfiguriert und kann nicht durch Ransomware deaktiviert werden.
- Double Extortion erfordert zusätzliche Maßnahmen, die über Deep Freeze hinausgehen – insbesondere den Schutz sensibler Daten auf Netzlaufwerken und Servern. Aber die Verschlüsselungskomponente des Angriffs – die den Betrieb lahmlegt und den Zahlungsdruck erzeugt – wird durch Deep Freeze vollständig neutralisiert.
- Sechs Wochen Ausfall sind für kein Unternehmen akzeptabel. Kleine Online-Händler verloren ihr Weihnachtsgeschäft, Privatpersonen konnten keine internationalen Sendungen verschicken. Eine eingefrorene Systempartition hätte diese sechs Wochen auf Minuten reduziert.