Blick hinter die Ransomware-Kulissen

Ausgefeilte Arbeitsteilung

LANline: Die Arbeitsteilung der Kriminellen wird laut Fachleuten immer ausgeklügelter, die Professionalität in der Szene steigt, und Opfer erhalten zum Beispiel„Kunden-Service“-Nummern wie bei einem Helpdesk. Wie weit ist diese Professionalisierung inzwischen gediehen?
Catalin Cosoi: Die heutigen RaaS-Anbieter nehmen ihre Professionalität und ihre Sicherheitsmaßnahmen sehr ernst. Früher gab es Ransomware-Familien wie GrandCrab – inzwischen tot –, die bereit waren, mit jedem Partner zusammenzuarbeiten. Aber andere Gruppen wie REvil haben ein Überprüfungssystem, sie sind sehr wählerisch, was ihre Partner angeht, und führen komplizierte Interviews durch. Neue Affiliates müssen sich also als würdig erweisen und zeigen, dass sie wissen, wie man einen Exploit schreibt, oder dass sie in der Vergangenheit Netzwerke kompromittiert haben. Es gab auch Affiliates, die eine Zeit lang mit beiden Gruppen zusammengearbeitet haben. Jeder Partner ist für die Abrechnung seines eigenen Geldes verantwortlich und verwendet seine eigenen Mixer für Kryptowährungstransaktionen. Außerdem haben sie ihre eigenen Verhandlungsführer, da es Unternehmen gibt, die sich auf die Notfall-Reaktion auf Ransomware-Angriffe einschließlich Lösegeldverhandlungen spezialisiert haben. Hier könnten die Affiliates sagen: „Sie sind also hier, um zu verhandeln. Mit welchem Verhandlungsunternehmen arbeiten Sie zusammen?“ Sie kennen diese Unternehmen und wissen, welche Strategien sie verfolgen. Möglicherweise arbeiten sie sogar mit Unternehmen zusammen, die Festplatten wiederherstellen. Es gibt einige Datenwiederherstellungsanbieter, die verlorene Daten für einen hohen Betrag, der jedoch unter dem Lösegeld liegt, wiederherstellen können. Diese Unternehmen arbeiten möglicherweise insgeheim mit den Affiliates zusammen. Dann glauben Sie also, dass Sie die Guten bezahlen, aber in Wirklichkeit bezahlen Sie wieder die Bösen.

LANline: Wie hoch ist denn der Prozentsatz der Opfer, die verhandeln und ein Lösegeld zahlen?
Catalin Cosoi: In Wirklichkeit versucht jeder, zu verhandeln. Sie (die angegriffenen Unternehmen, d.Red.) wollen den Zahlungsbetrag senken oder den Zeitrahmen verlängern, bevor sich die Lösegeldzahlung verdoppelt. Bei den Verhandlungen kann es um die Entschlüsselung gehen, aber auch darum, interne Daten nicht zu veröffentlichen, damit die Öffentlichkeit nicht erfährt, dass die Daten eines Unternehmens kompromittiert wurden. Wir haben letztes Jahr eine Umfrage durchgeführt, und fünf von zehn befragten Unternehmen gaben an, dass sie das Lösegeld zahlen würden. In der Praxis haben wir bei unserer Arbeit mit Unternehmen in solchen Situationen festgestellt, dass siebzig Prozent der Unternehmen tatsächlich zahlen.

LANline: Man hört auch von Unternehmen, die bereits wiederholt infiziert wurden. Wie häufig kommt das vor?
Catalin Cosoi: Dass Unternehmen zweimal mit Ransomware infiziert werden, ist durchaus üblich. Wir haben sogar Fälle erlebt, in denen ein Unternehmen mit zwei Ransomware-Familien gleichzeitig infiziert war: Die Daten waren doppelt verschlüsselt.

LANline: Welche Ransomware-Gruppen stufen Sie heutzutage als die gefährlichsten ein?
Catalin Cosoi: Die fünf gefährlichsten Ransomware-Familien, gemessen an der Zahl der weltweiten Vorfälle, sind Conti, LockBit, Pysa, Spook und Haron. Ich gehe davon aus, dass wir in Zukunft noch mehr Angriffe von diesen Gruppen sehen werden.

LANline: Was sind die offenen Türen, die Sie bei den Unternehmen immer wieder antreffen, und von denen Sie sagen, dass die Unternehmen sie am dringendsten schließen müssten?
Catalin Cosoi: Ein beliebter Angriffsvektor ist RDP, das Remote Desktop Protocol, insbesondere in Verbindung mit schwachen Passwörtern. Im Dark Web gibt es aber auch riesige Datenbanken mit gestohlenen Anmeldedaten. Ein weiterer gängiger Angriffsweg besteht darin, dass sich ein Insider Zugang verschafft und diesen dann an Affiliates verkauft. Und natürlich gibt es nach wie vor den üblichen Angriffsvektor per Phishing, Spam, Exploits usw.

LANline: Herr Cosoi, vielen Dank für das Gespräch.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

1. Blick hinter die Ransomware-Kulissen
2. Ausgefeilte Arbeitsteilung

Lesen Sie mehr zum Thema

Weitere Artikel zu BitDefender GmbH

Bitdefender Labs: Gefahr durch RedCurl

Ransomware attackiert Hypervisoren

7 Trends für IT-Sicherheitsdienstleister

Wenn sich die Hacker neu aufstellen, kann das der Channel auch

Mutmaßlich nordkoreanischer Hintergrund

Fake-Jobangebote für Software-Entwickler auf LinkedIn

Supply-Chain-Angriffe aufgedeckt

Kompromittierte Word-Dokumenten gegen Behörden eingesetzt

Jährlich 1,5 Billionen Dollar Beute

So hocheffizient sind die Taktiken der Cybercrime-Szene

Weitere Artikel zu Cybercrime

Ex-Mitarbeiter unter Verdacht

Riesiges Datenleck bei X

Vorsicht Vishing

Zahl der Voice-Phishing-Angriffe explodiert

Kaspersky warnt Unternehmen und Nutzer

Banking-Malware: 3,6-mal mehr Angriffe auf mobile Anwender

G Data auf der Learntec

Neue Kurse klären über Quishing und MFA-Fatigue auf

Verwaltete Web Application Firewall

Schädlichen Web-Traffic stoppen

Weitere Artikel zu Desko GmbH

Zerto ermöglicht Echtzeit-Erkennung von…

Schutz gegen Ransomware-Angriffe in Hybrid Clouds

Ransomware-Reports von Sophos und Proofpoint

Erpressersoftware wieder auf hohem Niveau

Rubrik mit Advanced User Intelligence

Mit Zeitreihendaten gegen Cyberbedrohungen

SEP stellt Blocky4sesam vor

Ransomware-Schutz für Backups in Windows-Umgebungen

Hornetsecurity: VM Backup V9 gegen…

Manipulationssichere Backup-Software

Weitere Artikel zu Broadcom

Broadcom und TSMC prüfen Übernahme

Droht Intel die Aufspaltung?

Broadcom Accelerate Programm

Arrow erweitert Distributionsvereinbarung mit Broadcom

Distributionsvertrag mit Broadcom

Arrow vertreibt VMware in Europa

Mission Ethernet-Optimierung

Führende Unternehmen gründen Ultra Ethernet Consortium

Aktueller APT-Report von Eset

EU im Visier chinesischer und russischer Angreifer