Neuer Trend: doppelte Erpressung
Online-Erpresser nehmen Deutschland ins Visier
Fortsetzung des Artikels von Teil 1
Trend zur doppelten Erpressung
Ein üblicher Ransomware-Angriff besteht darin, dass der Ransomware-Betreiber Daten verschlüsselt und das Opfer zur Zahlung eines Lösegelds zwingt, um sie zu entsperren. Bei einer doppelten Erpressung verschlüsseln und stehlen die Ransomware-Betreiber Daten, um das Opfer weiter zu zwingen, ein Lösegeld zu zahlen. Wenn das Opfer das Lösegeld nicht zahlt, veröffentlichen die Ransomware-Betreiber die Daten auf einer Leak-Site oder einer Dark-Web-Domain, wobei die meisten Leak-Sites im Dark Web gehostet werden. Diese Hosting-Standorte werden von den Ransomware-Betreibern erstellt und verwaltet.
Mindestens 16 verschiedene Ransomware-Varianten drohen jetzt damit, Daten preiszugeben oder Leak-Sites zu nutzen, und weitere Varianten werden diesen Trend wahrscheinlich fortsetzen. Einige Ransomware-Betreiber beweisen ihr Wissen über die Netzwerkumgebung eines Opfers zusätzlich, indem sie die Daten in Form von Verzeichnissen oder Dateibäumen anzeigen.
Mehrere Ransomware-Familien, wie NetWalker, RagnarLocker, DoppelPaymer und viele andere, haben ihre Fähigkeit zur Exfiltration von Daten und zur Verwendung doppelter Erpressungstechniken gezeigt. Die Ransomware-Familie, die sich diese Taktik am häufigsten zunutze machte, war NetWalker. Von Januar 2020 bis Januar 2021 ließ NetWalker Daten von 113 Opferorganisationen weltweit durchsickern und übertraf damit andere Ransomware-Familien bei weitem. RagnarLocker lag an zweiter Stelle und ließ Daten von 26 Opfern weltweit durchsickern.
Das US-Justizministerium hatte im Januar 2021 bekannt gegeben, internationale Strafverfolgungsmaßnahmen zu koordinieren, um die NetWalker-Ransomware-Bande zu zerschlagen. Die von den NetWalker-Betreibern verwaltete Dark-Web-Domain, auf der die geleakten Daten gehostet wurden, ist nicht mehr zugänglich.
Ransomware-as-a-Service
Betrachtet man die Aktivitäten im Jahr 2020 und blickt auf die letzten Jahre zurück, ist leicht zu erkennen, welche Trends sich bei Ransomware fortsetzen und welche Komponenten schneller als erwartet zugenommen haben.
Die Leichtigkeit, mit der Ransomware-Angriffe erfolgreich sind, lässt vermuten, dass immer mehr finanziell motivierte Betreiber auf der Bildfläche erscheinen werden. Angreifer aller Art sind ständig auf der Suche nach Unternehmen, die sie ins Visier nehmen können, und sie wissen, dass Ransomware nicht nur effektiv ist, sondern auch mit geringem Aufwand verbunden sein kann, insbesondere, wenn sie das Ransomware-as-a-Service-Modell nutzen. Die Forscher gehen davon aus, dass immer mehr Betreiber diesem Modell folgen werden, um Geld zu erpressen.
Einige der am weitesten verbreiteten Ransomware-Familien, die im Jahr 2020 beobachtet wurden, waren weniger als ein Jahr alt. Es werden weiterhin neue und aktualisierte Ransomware-Varianten entwickelt und eingesetzt, die als eigenständige Malware oder zusammen mit herkömmlicher Malware verwendet werden. Da Linux immer häufiger zum Ziel von Ransomware wird, ist es klar, dass Angreifer weiterhin die Fähigkeit entwickeln werden, alle Arten von Systemen anzugreifen.
Proof of Compromise- und doppelte Erpressungstechniken waren zu Beginn des Jahres 2020 ebenfalls weniger als ein Jahr alt, aber sie sind jetzt in ihrer Popularität explodiert. Mindestens 16 verschiedene Ransomware-Varianten drohen nun damit, Daten preiszugeben oder Leck-Seiten zu nutzen und weitere Varianten werden diesen Trend wahrscheinlich fortsetzen. In diesem Sinne wird auch die Nutzung von Tor und anderen anonymen Diensten weiter zunehmen. Die Verwendung von anonymen Diensten erschwert es Sicherheitsforschern und Strafverfolgern, Aktivitäten zu verfolgen und Indikatoren zu identifizieren, die zur Netzwerkverteidigung genutzt werden können.
Steigende Lösegeld-Forderungen
Die höchste Lösegeldforderung ist in nur wenigen Jahren von 500 US-Dollar auf mehr als 30 Millionen US-Dollar gestiegen und hat sich allein von 219 bis 2020 verdoppelt von 15 auf 30 Millionen US-Dollar. Solange die Angreifer weiterhin bezahlt werden, werden diese Forderungen weiter steigen. Nur sehr wenige Betreiber stellen Lösegeldforderungen in anderen Formen als virtueller Währung, wobei sie in der Regel Bitcoin bevorzugen, obwohl in mehreren von den Forschern beobachteten Vorfällen auch Monero gefordert wurde.
Ein Großteil des Erfolgs dieser Betreiber liegt in ihrer Fähigkeit, sich der Entdeckung zu entziehen. Die Angreifer werden weiterhin Netzwerke infiltrieren, indem sie auf traditionelle Phishing-Methoden, schwache Zugangsdaten sowie Tools setzen, die in den Zielumgebungen vertreten sind. Dazu gehört die Verwendung von Post-Exploitation-Frameworks wie Cobalt Strike, PowerShell Empire und PowerSploit.
Die Abwehr von Ransomware-Angriffen ist ähnlich wie der Schutz vor anderer Malware. Ransomware stellt jedoch ein viel höheres Risiko für Unternehmen dar.
Der Erstzugang ist bei allen Ransomware-Varianten relativ einheitlich. Unternehmen sollten ihre Benutzer für die E-Mail-Sicherheit sensibilisieren und schulen sowie Möglichkeiten zur Erkennung und Beseitigung bösartiger E-Mails in Betracht ziehen, sobald diese in das Postfach eines Mitarbeiters gelangen. Unternehmen sollten auch sicherstellen, dass sie ein ordnungsgemäßes Patch-Management durchführen und überprüfen, welche Dienste möglicherweise dem Internet ausgesetzt sind. Remote-Desktop-Dienste sollten korrekt konfiguriert und abgesichert werden, wobei nach Möglichkeit das Prinzip der geringsten Privilegien angewandt werden sollte, mit einer Richtlinie zur Erkennung von Mustern, die mit Brute-Force-Angriffen verbunden sind.
Unternehmen sollten weiterhin ihre Daten sichern und einen geeigneten Wiederherstellungsprozess einrichten. Ransomware-Betreiber werden gezielt Backups vor Ort verschlüsseln, daher sollten Unternehmen sicherstellen, dass alle Backups sicher offline gehalten werden. Wiederherstellungsprozesse müssen implementiert und mit wichtigen Beteiligten geprobt werden, um Ausfallzeiten und Kosten für das Unternehmen im Falle eines Ransomware-Angriffs zu minimieren.
Die effektivsten Formen des Schutzes vor Ransomware sind Endpunktsicherheit, URL-Filterung oder Web-Schutz, erweiterte Bedrohungsabwehr (unbekannte Bedrohungen/Sandboxing) und Anti-Phishing-Lösungen, die in allen Unternehmensumgebungen und auf allen Geräten eingesetzt werden. Diese Lösungen garantieren zwar keinen vollständigen Schutz, aber sie reduzieren das Risiko einer Infektion durch gängige Varianten drastisch und bieten Überbrückungsmaßnahmen, so dass eine Technologie eine Durchsetzungslinie bietet, wenn eine andere möglicherweise nicht effektiv ist.
- Online-Erpresser nehmen Deutschland ins Visier
- Trend zur doppelten Erpressung
Lesen Sie mehr zum Thema
