Ransomware: Doppelte Erpressungsangriffe

Die Zahl der Ransomware-Banden, die damit drohen, die von den Opfern gestohlenen Daten freizugeben, wenn diese nicht das Lösegeld für den Entschlüsselungsschlüssel zahlen, der zur Wiederherstellung ihres Netzwerks benötigt wird, ist stark angestiegen.

Diese Angriffe sind für Cyberkriminelle extrem erfolgreich und lukrativ geworden. Die Cybersecurity-Forscher von ZeroFox haben die Aktivitäten von mehr als zwei Dutzend Dark-Web-Leak-Sites, die mit Ransomware-Angriffen in Verbindung stehen, im vergangenen Jahr verfolgt, da immer mehr cyberkriminelle Gruppen auf diese Form der Erpressung setzen.

Die Idee hinter diesen Ransomware-Angriffen mit doppelter Erpressung ist, dass selbst wenn die Opferorganisation glaubt, ihr Netzwerk wiederherstellen zu können, ohne auf die Lösegeldforderungen der Cyberkriminellen einzugehen – die regelmäßig Millionen von Dollar in Bitcoin kosten -, die Bedrohung durch die Offenlegung sensibler Informationen über Mitarbeiter oder Kunden die Opfer dennoch dazu bringen könnte, der Erpressung nachzugeben und das Lösegeld zu zahlen.

Selbst dann gibt es keine Garantie, dass die Cyber-Kriminellen, die hinter dem Ransomware-Angriff stecken, die gestohlenen Daten löschen – sie könnten sie in der Folgezeit ausnutzen oder in Dark-Web-Foren an andere Gauner verkaufen.

Die Ransomware-Gruppen, die mit Angriffen mit doppelter Erpressung am erfolgreichsten sind, sind diejenigen, die sie zuerst in ihre Angriffe aufgenommen haben, wie Revil, Maze, Netwalker und DoppelPaymer, aber andere sind in ihre Fußstapfen getreten und haben im Jahr 2021 viel Erfolg.

Gruppen wie Conti und Egregor sind im Laufe dieses Jahres am produktivsten geworden – wobei der Bericht darauf hinweist, wie die letztgenannte Gruppe angeblich Erfolg hatte, indem sie Mitglieder anderer Ransomware-Gangs rekrutierte, darunter Maze, das angeblich im November letzten Jahres geschlossen wurde.

Die Rekrutierung von Autoren anderer Ransomware-Banden zeigt, wie sich diese spezielle Art von Malware zu einem umkämpften Markt entwickelt hat.

Ähnlich wie seriöse Softwareunternehmen wollen die Konzerne die besten Leute anheuern, um sicherzustellen, dass ihr Produkt so erfolgreich wie möglich ist – leider kommt der Erfolg in diesem Fall auf Kosten unschuldiger Opfer, die feststellen, dass ihre Netzwerke durch einen Ransomware-Angriff verschlüsselt wurden.

Der Bericht zeigt auf, dass einige Ransomware-Gruppen DDoS-Angriffe (Distributed Denial of Service) gegen die Opfer starten, die das Netzwerk so stark belasten, dass es nicht mehr nutzbar ist – und dies als zusätzliche Methode nutzen, um das Opfer zur Zahlung zu zwingen.

Letztendlich sind doppelte Erpressungstechniken unter Ransomware-Banden so üblich geworden, weil die Angriffe funktionieren und viele Organisationen leider auf Lösegeldforderungen eingehen, da die Cyberkriminellen in diesem Bereich immer hartnäckiger und aggressiver werden.

Der beste Weg für Unternehmen ist, dass ihr Netzwerk so absichern, dass das Eindringen von Cyber-Kriminellen von Anfang an verhindert werden kann. Zu den Cybersecurity-Verfahren, die Cyber-Kriminelle davon abhalten können, das Netzwerk überhaupt erst zu infiltrieren, gehören die schnellstmögliche Anwendung von Sicherheits-Patches, damit Angreifer keine bekannten Schwachstellen ausnutzen können, und der Einsatz von Zwei-Faktor-Authentifizierung für alle Benutzer, damit es für Angreifer, die in ein Konto eindringen, schwierig ist, sich seitlich im Netzwerk zu bewegen.