Ransomware-Trend
Datenveröffentlichung statt Verschlüsselung
Eine beunruhigende Ransomware-Entwicklung macht sich deutlich: Die Cyberkriminellen drohen den attackierten Unternehmen zunehmend damit, sensible Daten zu veröffentlichen, wenn diese nicht die geforderte Lösegeldsumme bezahlen. Oftmals trifft das auch einzelne Mitarbeiter.
Eigentlich war das Vorgehen bei Ransomware immer eine sehr einfach wechselseitige Beziehung: Opfer erhielten eine getarnte E-Mail, in dieser klickten sie auf einen Link oder öffneten einen Anhang, woraufhin der Computer irgendwann den Binärcode der Erpressersoftware startete, die sämtliche Daten des Nutzers verschlüsselte. Um die Daten wiederherzustellen, hatten Opfer in der Regel zwei Optionen: Hatten Sie ein Back-up, konnten sie die Daten daraus wieder herstellen, oder sie mussten die Lösegeldforderungen der Erpresser erfüllen, um den Entschlüsselungscode zu erhalten. Doch mittlerweile haben die Kriminellen auch Kommunikationsmöglichkeiten zu ihrem Vorgehen hinzugefügt, wodurch der Prozess wesentlich persönlicher wurde. Dadurch wurden die Erpresser zu "vertrauenswürdigen" Gegnern und Opfer bekamen teilweise die Möglichkeit, ihre Bezahloptionen zu verhandeln.
Doch die Prozesse von Ransomware-Angriffen verändern sich immer noch weiter. Im Oktober 2019 attackierte die Gruppe, die sich selbst "Shadow Kill Hackers" nennt, die City of Johannesburg und behauptete, Daten von dem kompromittierten System gestohlen zu haben. Doch die Angreifer haben hierbei gar keine Daten verschlüsselt, wie es bei Ransomware-Angriffen die Norm ist. Bei diesem Angriff drohten die Kriminellen damit, finanzbasierte und persönliche Daten der Metropolbewohner zu veröffentlichen, sollten sie nicht ihre geforderte Zahlung erhalten. City of Johannesburg ging nicht auf die Forderung ein und die Angreifer veröffentlichten keine Daten. Allerdings dauerte es weniger als einen Monat, bis die neue Angriffsart von anderen Ransomware-Gruppierungen ebenfalls genutzt wurde.
Die Kriminellen hinter der Maze-Ransomware fingen an, diese Taktik des Diebstahls als zusätzliche Drohkulisse in ihr Vorgehen einzubauen. Der erste Vorfall ereignete sich im November 2019, als die Maze-Truppe einen Teil gestohlener Opferdaten veröffentlichte. Dies diente als Machtdemonstration und verursachte sozialen Druck auf das betroffene Unternehmen wegen der verweigerten Zahlung. Seitdem sieht man die Maze-Akteure dieses Verhalten kontinuierlich anwenden. Auch andere bekannte Ransomware-Gruppen springen peu à peu auf diesen Zug auf.
Heutzutage ist es nicht ungewöhnlich, dass ein Opfer von Ransomware-Software erpresst wird, Lösegeld zu zahlen, um eine Datenveröffentlichung zu verhindern. Sophos hat sogar Machenschaften analysiert, die den Zugang zu einem kompromittierten System dazu nutzen, Mitarbeiter gegen ihre eigenen Führungskräfte und IT-Abteilung auszuspielen. Auch hier wurde mit der Veröffentlichung gestohlener Mitarbeiterdaten gedroht, wenn das Unternehmen nicht mit den Erpressern verhandelt und bezahlt.
Ist diese Angriffsform mit hohem sozialem Druck profitabler als traditionelle Methoden? Für eine klare Einschätzung ist es noch etwas früh, denn diese Vorgehensweise hat eine neue Ransomware-Ära eingeläutet, in der sozialer Druck und Scham genutzt werden, um die Erfolgschancen für die Kriminellen zu erhöhen.
John Shier ist Senior Sicherheitsberater bei Sophos.
Lesen Sie mehr zum Thema
