Ransomware
Kommodifizierung einer Bedrohung
Fortsetzung des Artikels von Teil 1
Ransomware verändert sich – die Akteure ebenfalls
Es sind aber noch weitere Aspekte im Spiel. Nach der kürzlichen Datenpanne bei dem britischen Einzelhandelsunternehmen FatFace kam ans Licht, wie Angreifer und Opfer miteinander verhandelt und taktiert hatten. Dabei war das Lösegeld aktiv von acht Millionen US-Dollar auf zwei Millionen US-Dollar heruntergehandelt worden. Interessanterweise hatten die Angreifer ihre ursprüngliche Forderung offenbar an der Erkenntnis ausgerichtet, dass FatFace eine Cyberversicherung mit einer Deckungssumme von 7,5 Millionen Pfund abgeschlossen hatte. Wie sind die Angreifer auf diese Summe gekommen? Interessant ist in diesem Zusammenhang ein Vorfall, der als Multi-Channel-Angriff beschrieben werden könnte und vielleicht ein Beleg für so etwas wie „Ganovenehre“ ist: Eine Ransomware-Gang gab bekannt, künftig Firmen ins Visier nehmen zu wollen, von denen sie wüsste, dass sie über eine Cyberversicherung verfügen. Und kurz darauf fand dann eine möglicherweise – wenngleich das nicht bestätigt wurde – damit zusammenhängende Attacke auf einen großen Anbieter eben solcher Cyberversicherungen statt.
Ein letzter Aspekt schließlich ist das immer radikalere Vorgehen der Angreifer. Als 1989 die allererste Ransomware verbreitet wurde, der Trojaner AIDS/COP, verlangte der Erpresser gerade einmal 189 US-Dollar, die an ein Postfach in Panama geschickt werden mussten. Nach seiner Verhaftung verpflichtete sich der Erpresser dazu, das gesamte erhaltene Geld für die AIDS-Forschung zu spenden – der Erpresser, Joseph Popp, war ein in Harvard ausgebildeter Anthropologe, WHO-Berater und hatte mit den Flying Doctors in Afrika gearbeitet. Solche edelmütigen Erklärungen und ein solcher beruflicher Hintergrund dürften für die heutigen Berufsverbrecher wohl eher untypisch sein.
Den Erpressern von heute ist dagegen nichts mehr heilig und jedes Mittel recht. Wie aus den bereits erwähnten Verhandlungen zum Lösegeld ersichtlich ist, wird heutzutage oft Insiderwissen genutzt. Kriminelle drohen auch oft damit, bei Nichtzahlung die gestohlenen Daten zu veröffentlichen – was sie dann selbst nach dem Erhalt der Lösesumme oftmals tun – oder die Sicherheitspanne öffentlich bekannt zu machen, damit das betroffene Unternehmen aus Angst um seinen Ruf zahlt. Und es geht sogar noch schlimmer: Nach einem Ransomware-Angriff auf eine finnische Klinik kontaktierten die Kriminellen deren Patienten und drohten, ihre sensibelsten Gesundheitsdaten ins Netz zu stellen, falls sie nicht ebenfalls ein Lösegeld bezahlten.
Jedes Mittel ist recht
Cyberkriminelle nutzen heutzutage absolut jedes Mittel, das sie gegen ihre Opfer haben, um ihren Gewinn und die Rendite zu maximieren. Sie werden finanzielle wie auch emotionale Hebel ansetzen, um ihrem Opfer das Gefühl zu geben, dass es kaum eine andere Wahl hat, als zu zahlen – und zwar schnell. Diese heimtückischen Vorgehensweisen führen dazu, dass ein Ransomware-Angriff nicht nur finanziell, sondern auch emotional verwundbar machen und damit zu Langzeitschäden aller Art führen kann, für Privatpersonen wie auch Unternehmen und Institutionen.
Angesichts all dessen darf man wohl sagen, dass die heutige Ransomware nichts mehr mit der Ransomware von einst zu tun hat. Sie hat sich von einer Spielerei zu Niedertracht, von Fundraising zu einem kommerziellen Unterfangen und von Belästigung zu Heimtücke entwickelt. Da die Kriminellen strategisch und gewinnorientiert denken und vor allem hoch motiviert sind, dürfte uns keine Atempause von der Flut an Ransomware-Bedrohungen vergönnt sein, mit denen wir fertig werden müssen.
Thom Langford, Security Advocate bei SentinelOne
- Kommodifizierung einer Bedrohung
- Ransomware verändert sich – die Akteure ebenfalls
- Luxusschlitten oder Reinvestition? Was Cyberkriminellen mit dem Lösegeld machen
Lesen Sie mehr zum Thema
