So setzen Ransomware-Verbrecher ihre Opfer unter Druck

Das Sophos Rapid Response Team zeigt auf, wie Ransomware-Verbrecher ihre Techniken ausgefeilt haben. Längst geht der Trend weg von der reinen Verschlüsselung von Daten hin zu anderen Erpressungsmethoden wie dem direkten Druck auf einzelne Mitarbeiter, um die Opfer zur Zahlung zu bewegen.

2Da Unternehmen immer besser in der Lage sind, ihre Daten zu sichern und verschlüsselte Dateien aus Backups wiederherzustellen, ergänzen Angreifer ihre Lösegeldforderungen mit zusätzlichen Erpressungsmaßnahmen, die den Druck zur Zahlung erhöhen“, erklärt Peter Mackenzie, Director, Incident Response bei Sophos. „Das Sophos Rapid Response Team hat zum Beispiel Fälle beobachtet, in denen Angreifer die Mitarbeiter eines Opfers per E-Mail oder Telefon anrufen, sie mit ihrem Namen ansprechen und ihnen persönliche Daten mitteilen, die sie gestohlen haben – wie z.B. disziplinarische Maßnahmen oder Passdaten – mit dem Ziel, sie einzuschüchtern, damit sie von ihrem Arbeitgeber die Zahlung des Lösegelds verlangen. Diese Art von Verhalten zeigt, wie sich Ransomware von einem rein technischen Angriff, der auf Systeme und Daten abzielt, zu einem Angriff entwickelt hat, der auch auf Menschen abzielt.“

Einige der Taktiken, die Angreifer anwenden, um Opfer zur Zahlung zu zwingen, sind rücksichtslos und können einem Unternehmen möglicherweise mehr Schaden zufügen als eine Ausfallzeit. Die Angreifer versuchen absichtlich, die Beziehungen, das Vertrauen und den Ruf ihres Ziels zu untergraben. Manchmal gehen sie dabei sehr öffentlich vor, in anderen Fällen sind sie direkter und persönlicher.

Zum Beispiel hat das Sophos Rapid Response-Team hat Fälle beobachtet, in denen Angreifer die Mitarbeiter eines Opfers per E-Mail oder Telefon anrufen, sie mit ihrem Namen ansprechen und persönliche Daten weitergeben, die die Angreifer gestohlen haben, wie z.B. Details zu disziplinarischen Maßnahmen oder Finanz- oder Passdaten, um sie zu verängstigen und die Zahlung des Lösegelds von ihrem Arbeitgeber zu verlangen.

Diese Art von Verhalten zeigt, wie sich Ransomware von einem rein technischen Angriff, der auf Systeme und Daten abzielt, zu einem Angriff entwickelt hat, der auch auf Menschen abzielt.

Um Unternehmen dabei zu helfen, ihre Ransomware-Abwehr zu verbessern, hat Sophos Rapid Response die zehn wichtigsten Erpressertaktiken zusammengestellt, die Angreifer im Jahr2021 eingesetzt haben:

1. Daten stehlen und drohen, sie online zu veröffentlichen oder zu versteigern

Die Liste der Ransomware-Gruppen, die mittlerweile eine öffentliche „Leak“-Website für gestohlene Daten nutzen, besitzen oder hosten, ist lang. Diese Vorgehensweise ist inzwischen so üblich, dass alle Opfer eines raffinierten Eindringlings davon ausgehen müssen, dass ein Angriff mit Ransomware auch einen Datendiebstahl bedeutet.

Die Angreifer veröffentlichen die gestohlenen Daten auf Leak-Sites, damit Konkurrenten, Kunden, Partner, die Medien und andere davon erfahren können. Diese Websites verfügen oft über Social-Media-Bots, die neue Beiträge automatisch veröffentlichen, so dass es kaum eine Chance gibt, einen Angriff geheim zu halten. Manchmal bieten die Angreifer die Daten im Dark Web oder in cyberkriminellen Netzwerken zur Versteigerung an.

Die größte Sorge für die Opfer könnte jedoch die Art der Daten sein, die die Angreifer stehlen. Es kann sich dabei nicht nur um Betriebsgeheimnisse und geistiges Eigentum handeln. Außerdem graben die Angreifer in der Regel Informationen wie Bankdaten von Unternehmen und Privatpersonen, Rechnungen, Gehaltsabrechnungen, Einzelheiten zu Disziplinarverfahren, Pässe, Führerscheine, Sozialversicherungsnummern und mehr aus.

Zum Beispiel haben in einem Ransomware-Angriff auf einen Transportlogistikanbieter die Angreifer Details zu laufenden Unfalluntersuchungen mit den Namen der beteiligten Fahrer, Todesfällen und anderen damit verbundenen Informationen erbeutet. Die Tatsache, dass diese Informationen an die Öffentlichkeit gelangen würden, erhöhte die ohnehin schon schwierige Situation noch weiter. Dabei handelte es sich um die Hackergruppe Conti

Der Verlust oder die Preisgabe personenbezogener Daten birgt für die Opfer auch die Gefahr eines Verstoßes gegen Datenschutzgesetze wie die europäische Datenschutz-Grundverordnung (DSGVO).

2. E-Mails und Anrufe an Mitarbeiter, einschließlich leitender Angestellter, mit der Drohung, ihre persönlichen Daten preiszugeben

REvil, Conti, Maze, SunCrypt und andere Ransomware-Gruppen haben diese Einschüchterungstaktik angewandt, die für die Empfänger äußerst beunruhigend sein kann.

Die Hintermänner der Ransomware REvil sollen Medien und Geschäftspartner der Opfer angerufen haben, um sie über den Angriff zu informieren und sie aufzufordern, die Opfer zur Zahlung zu bewegen. Außerdem sollen sie einen kostenlosen Dienst eingerichtet haben, der verschlüsselte VOIP-Anrufe für ihre Partner und Kunden bereitstellt.

3. Benachrichtigung oder Androhung der Benachrichtigung von Geschäftspartnern, Kunden, Medien und anderen über die Datenverletzung

Bei dieser Taktik werden Personen oder Organisationen, deren Kontaktdaten die Angreifer in den gestohlenen Dateien gefunden haben, per E-Mail oder Post benachrichtigt und aufgefordert, Lösegeld zu zahlen, um ihre Daten zu schützen. REvil, Clop und andere Ransomware-Gruppen verwenden diesen Ansatz.

4. Opfer zum Schweigen bringen

Conti und RagnarLocker drohen ihren Opfern seit kurzem mit Nachrichten, in denen sie aufgefordert werden, sich nicht an die Strafverfolgungsbehörden zu wenden oder Einzelheiten über Lösegeldverhandlungen mitzuteilen. Damit soll verhindert werden, dass die Opfer Unterstützung von Dritten erhalten, die ihnen helfen könnten, die Zahlung des Lösegelds zu vermeiden. Es deutet auch darauf hin, dass die Hersteller von Ransomware immer mehr darauf bedacht sind, die Aufmerksamkeit der Strafverfolgungsbehörden von ihren Aktivitäten abzulenken.

5. Rekrutieren

Eine weitere neue und ungewöhnliche Taktik der Ransomware-Betreiber ist die Anwerbung von Mitarbeitern der betroffenen Unternehmen, die einen Ransomware-Angriff gegen eine Beteiligung am Gewinn ermöglichen sollen. Do haben die Hintermänner von LockBit 2.0 eine Anzeige zur Anwerbung von Insidern aufgesetzt, die ihnen helfen sollten, in das System einzudringen und es zu verschlüsseln und im Gegenzug eine hohe Geldsumme zu verlangen. Der Hinweis, der nach der Verschlüsselung auf den Computern des Opfers erscheint, deutet darauf hin, dass die Angreifer versuchen, Insider in den Unternehmen der Opfer zu rekrutieren, die ihnen dabei helfen, in die Netzwerke von Drittanbietern oder Lieferanten einzudringen – ein zusätzlicher Grund zur Besorgnis für das Opfer und seine Partner.

6. Zurücksetzen von Passwörtern

Nachdem sie in das Netzwerk eingedrungen sind, erstellen viele Ransomware-Angreifer ein neues Domainadministratorkonto und setzen dann die Kennwörter für die anderen Administratorkonten zurück. Das bedeutet, dass sich die IT-Administratoren nicht in das Netzwerk einloggen können, um das System zu reparieren, sondern eine neue Domäne einrichten müssen, bevor sie überhaupt versuchen können, das System aus den Backups wiederherzustellen.

7. Phishing-Attacken, die auf die E-Mail-Konten der Opfer abzielen

In einem von Sophos Rapid Response untersuchten Vorfall, an dem Lorenz Ransomware beteiligt war, haben die Angreifer Mitarbeiter mit Phishing-E-Mails dazu verleitet, eine Anwendung zu installieren, die den Angreifern vollen Zugriff auf die E-Mail-Konten der Angestellten gewährte, selbst nachdem diese ihre Kennwörter zurückgesetzt hatten. Die Hacker nutzten dann die kompromittierten E-Mail-Konten, um E-Mails an die IT-, Rechts- und Cyberversicherungsteams zu senden, die mit der betroffenen Organisation zusammenarbeiten, und drohten mit weiteren Angriffen, falls sie nicht zahlen würden.

8. Löschen von Online-Sicherungen und Schattenvolumen Kopien

Bei der Erkundung des Netzwerks eines Opfers suchen die meisten Ransomware-Betreiber nach Sicherungskopien, die mit dem Netzwerk oder dem Internet verbunden sind, und löschen diese, damit sich das Opfer nicht auf sie verlassen kann, um verschlüsselte Dateien wiederherzustellen. Dies kann auch die Deinstallation von Sicherungssoftware und das Zurücksetzen virtueller Snapshots umfassen. In einem von Sophos Rapid Response beobachteten Beispiel, an dem DarkSide Ransomware beteiligt war, haben die Angreifer die lokalen Backups des Opfers gelöscht und dann ein kompromittiertes Admin-Konto verwendet, um den Anbieter zu kontaktieren, der die externen Cloud-Backups des Opfers hostet, und ihn zu bitten, die externen Backups zu löschen. Der Anbieter kam der Aufforderung nach, da sie von einem autorisierten Konto ausging. Glücklicherweise war der Anbieter in der Lage, die Backups wiederherzustellen, nachdem er über den Verstoß informiert worden war.

9. Ausdrucken physischer Kopien der Lösegeldforderung auf allen angeschlossenen Geräten, einschließlich Kassenterminals

Eine Flut von gedruckten Drohungen ist nicht nur ein Ärgernis für die Papierversorgung, sondern auch beunruhigend für die Mitarbeiter in den Büros. Ransomware-Betreiber wie Egregor und LockBit haben diese Taktik angewandt.

10. Durchführung von verteilten Denial-of-Service-Angriffen auf die Website des Ziels

Avaddon, DarkSide, RagnarLocker und SunCrypt haben DDoS-Angriffe (Distributed Denial of Service) eingesetzt, wenn die Lösegeldverhandlungen ins Stocken geraten waren, um die Zielpersonen zur Rückkehr an den Verhandlungstisch zu zwingen. Die Angreifer nutzen DDoS-Angriffe auch als Ablenkung, um IT-Sicherheitsressourcen zu binden, während die Hauptaktivität des Ransomware-Angriffs an anderer Stelle im Netzwerk stattfindet, oder als eigenständige Erpressungsangriffe.

Was Verteidiger tun können

Die Tatsache, dass die Betreiber von Ransomware ihre Angriffe nicht mehr auf die Verschlüsselung von Dateien beschränken, die das Ziel oft aus Backups wiederherstellen kann, zeigt, wie wichtig es für Verteidiger ist, einen umfassenden Sicherheitsansatz zu verfolgen, der fortschrittliche Sicherheit mit der Schulung und Sensibilisierung der Mitarbeiter kombiniert. Es lohnt sich auch, die folgenden Schritte zu überdenken, um die IT-Sicherheit gegen eine breite Palette von Cyberbedrohungen, einschließlich Ransomware, zu verbessern.

Die folgenden Schritte können Unternehmen dabei helfen, mit bedrohlichen Angreiferverhalten umzugehen:

• Implementieren Sie ein Programm zur Sensibilisierung der Mitarbeiter, das Beispiele für die Art von E-Mails und Anrufen enthält, die Angreifer verwenden, sowie für die Forderungen, die sie stellen könnten.
• Einrichtung einer rund um die Uhr erreichbaren Kontaktstelle für Mitarbeiter, damit diese Angriffe melden können, die angeblich von Angreifern stammen, und jede erforderliche Unterstützung erhalten
• Einführung von Maßnahmen zur Erkennung potenzieller bösartiger Insider-Aktivitäten, z. B. Mitarbeiter, die versuchen, auf nicht autorisierte Konten oder Inhalte zuzugreifen
• Überwachen Sie die Netzwerksicherheit rund um die Uhr und achten Sie auf die Frühindikatoren für die Anwesenheit eines Angreifers, um Ransomware-Angriffe zu stoppen, bevor sie starten
• Schalten Sie das Remote-Desktop-Protokoll (RDP) für das Internet ab, um Cyberkriminellen den Zugriff auf Netzwerke zu verwehren. Wenn Benutzer auf RDP zugreifen müssen, stellen Sie es hinter eine VPN- oder
• Klären Sie Ihre Mitarbeiter darüber auf, worauf sie in Bezug auf Phishing und bösartigen Spam achten müssen, und führen Sie robuste Sicherheitsrichtlinien ein.
• Führen Sie regelmäßige Backups der wichtigsten und aktuellsten Daten auf einem externen Speichermedium durch. Die Standardempfehlung für Backups ist die 3-2-1-Methode: 3 Kopien der Daten auf 2 verschiedenen Systemen, wovon 1 offline ist, und Testen der Wiederherstellungsfähigkeit
• Verhindern Sie, dass Angreifer Zugriff auf die Sicherheit erhalten und diese deaktivieren: Wählen Sie eine Lösung mit einer in der Cloud gehosteten Verwaltungskonsole mit aktivierter Multi-Faktor-Authentifizierung und rollenbasierter Verwaltung, um die Zugriffsrechte zu beschränken.
• Denken Sie daran, dass es kein Patentrezept für den Schutz gibt und dass ein mehrschichtiges, in die Tiefe gestaffeltes Sicherheitsmodell erforderlich ist. Sie sollten es auf alle Endgeräte und Server ausweiten und sicherstellen, dass sie sicherheitsrelevante Daten gemeinsam nutzen können.
• Erstellen Sie einen wirksamen Plan zur Reaktion auf Vorfälle und aktualisieren Sie ihn bei Bedarf.
• Wenden Sie sich an externe Experten, um Bedrohungen zu überwachen oder auf Notfälle zu reagieren, um bei Bedarf zusätzliche Hilfe zu erhalten.

Wenn Sie mehr erfahren möchten, sprechen Sie mit Ihrem Sophos Ansprechpartner, besuchen Sie unsere Website oder starten Sie eine kostenlose Testversion.