Datenbestände in Gefahr
Was Ransom währt ...
Fortsetzung des Artikels von Teil 3
Sturmflut
Auch Palo Alto Networks berichtet von eskalierenden Ransomware-Forderungen. Der Durchschnittswert, den die Kalifornier im ersten Halbjahr beobachteten, lag bei 5,3 Millionen Dollar – ein Plus von 518 Prozent gegenüber dem Vorjahr. Forderung ist aber nicht gleich Zahlung: Erstens zahlt nicht jedes Unternehmen, zweitens zeigen sich die Erpresserbanden gerade bei höheren Summen verhandlungsbereit – wohl dem, der Basar-erfahrene Verhandler in seinen Reihen weiß.
In Palo Altos Auswertung betrug die Durchschnittshöhe des gezahlten Lösegelds 570.000 Dollar – immerhin ein Anstieg um 82 Prozent gegenüber dem Vorjahr. Besonders ärgerlich ist das Aufkommen sogenannter „vierfacher Erpressung“: Erst kürzlich war zur „normalen“ Erpressung (also Datenentschlüsselung nur gegen Zahlung) die „doppelte Erpressung“ hinzugekommen: Die Kriminellen drohten bei Störrigkeit nicht nur mit Datenverlust, sondern zudem mit der Veröffentlichung vorab exfiltrierter Externa. Laut Palo Alto Networks nutzen die Kriminellen nun neben Verschlüsselung und Datendiebstahl inklusive Leak-Drohung neuerdings auch noch Denial-Service-Angriffe und Belästigung auf diversen Kommunikationskanälen, um widerborstige Unternehmen zur Lösegeldzahlung zu nötigen.
Als Folge der erwähnten Arbeitsteilung organisierter Digitalkriminalität hat sich inzwischen „Ransomware as a Service“ (RaaS) etabliert, wie Palo Alto anhand des RaaS-Betreibers Lockbit im Detail beschreibt: Die Lockbit-Gruppe rekrutiert laut den Security-Analysten mit geschicktem Marketing „Affiliates“, also Partner. Diese zahlen der Gruppe einen Anteil der Einnahmen aus ihren Aktivitäten als Gegenleistung für die Nutzung der Malware, der Entschlüsselungsschlüssel, der Leak-Site und weiterer Unterstützung. Laut Doel Santos – der Sicherheitsanalyst von Palo Alto hat die RaaS-Gruppe und deren Leak-Site monatelang beobachtet – sind die Opfer über den ganzen Globus verstreut. Im Juni gab die Gruppe ihrer Leak-Site per Relaunch ein neues Erscheinungsbild und führte die Malware Lockbit 2.0 ein, nach eigenen Angaben die schnellste Verschlüsselung auf dem Markt: Die Gruppe behauptet, Lockbit 2.0 könne 100 GByte Daten in 4:28 Minuten verschlüsseln, somit mehr als doppelt so schnell wie die Konkurrenz, etwa Babuk, Conti, DarkSide, REvil oder Ryuk.
Auch das Vorgehen beschrieb Palo Alto Networks im Detail: Die Malware verschlüsselt Dateien, fügt die Erweiterung „.lockbit“ hinzu und ändert das Symbol der Datei in das Lockbit-2.0-Logo. Ist die Verschlüsselung abgeschlossen, informiert der Bildschirmhintergrund über die Zwangsverschlüsselung, verweist zur Behebung auf „Recover-My-Files.txt“ – und zeigt Werbung, um weitere Partner für das Programm zu gewinnen – wie auch, so Santos’ Vermutung, um bei potenziellen Innentätern Interesse an einer Kollaboration zu wecken. Ist das Opfer kommunikationsbereit, erhält es eine „Entschlüsselungs-ID“ und einen Tor-Link, damit es die Verhandlung beginnen kann.
Einen noch jungen RaaS-Anbieter namens BlackMatter haben die Experten von Sophos durchleuchtet. Laut Sophos ähnelt BlackMatter anderen Gruppierungen wie DarkSide (also der Gruppe, der JBS und Colonial Pipeline zum Opfer fielen), REvil oder LockBit 2.0. Auf ein perfides Detail des BlackMatter-Vorgehens verweist Mark Loman, Director of Engineering bei Sophos: „die Fähigkeit, Dateiberechtigungen zurückzusetzen, sodass jeder ein Dokument sehen kann“. Ein betroffenes IT-Team müsse daran denken, so Loman, diese Einstellung nach der Entschlüsselung der Dateien wieder zurückzusetzen.
Lesen Sie mehr zum Thema
