Das Sophos Rapid Response Team zeigt auf, wie Ransomware-Verbrecher ihre Techniken ausgefeilt haben. Längst geht der Trend weg von der reinen Verschlüsselung von Daten hin zu anderen Erpressungsmethoden wie dem direkten Druck auf einzelne Mitarbeiter, um die Opfer zur Zahlung zu bewegen.
2Da Unternehmen immer besser in der Lage sind, ihre Daten zu sichern und verschlüsselte Dateien aus Backups wiederherzustellen, ergänzen Angreifer ihre Lösegeldforderungen mit zusätzlichen Erpressungsmaßnahmen, die den Druck zur Zahlung erhöhen“, erklärt Peter Mackenzie, Director, Incident Response bei Sophos. „Das Sophos Rapid Response Team hat zum Beispiel Fälle beobachtet, in denen Angreifer die Mitarbeiter eines Opfers per E-Mail oder Telefon anrufen, sie mit ihrem Namen ansprechen und ihnen persönliche Daten mitteilen, die sie gestohlen haben – wie z.B. disziplinarische Maßnahmen oder Passdaten – mit dem Ziel, sie einzuschüchtern, damit sie von ihrem Arbeitgeber die Zahlung des Lösegelds verlangen. Diese Art von Verhalten zeigt, wie sich Ransomware von einem rein technischen Angriff, der auf Systeme und Daten abzielt, zu einem Angriff entwickelt hat, der auch auf Menschen abzielt.”
Einige der Taktiken, die Angreifer anwenden, um Opfer zur Zahlung zu zwingen, sind rücksichtslos und können einem Unternehmen möglicherweise mehr Schaden zufügen als eine Ausfallzeit. Die Angreifer versuchen absichtlich, die Beziehungen, das Vertrauen und den Ruf ihres Ziels zu untergraben. Manchmal gehen sie dabei sehr öffentlich vor, in anderen Fällen sind sie direkter und persönlicher.
Zum Beispiel hat das Sophos Rapid Response-Team hat Fälle beobachtet, in denen Angreifer die Mitarbeiter eines Opfers per E-Mail oder Telefon anrufen, sie mit ihrem Namen ansprechen und persönliche Daten weitergeben, die die Angreifer gestohlen haben, wie z.B. Details zu disziplinarischen Maßnahmen oder Finanz- oder Passdaten, um sie zu verängstigen und die Zahlung des Lösegelds von ihrem Arbeitgeber zu verlangen.
Diese Art von Verhalten zeigt, wie sich Ransomware von einem rein technischen Angriff, der auf Systeme und Daten abzielt, zu einem Angriff entwickelt hat, der auch auf Menschen abzielt.
Um Unternehmen dabei zu helfen, ihre Ransomware-Abwehr zu verbessern, hat Sophos Rapid Response die zehn wichtigsten Erpressertaktiken zusammengestellt, die Angreifer im Jahr2021 eingesetzt haben:
Die Liste der Ransomware-Gruppen, die mittlerweile eine öffentliche „Leak”-Website für gestohlene Daten nutzen, besitzen oder hosten, ist lang. Diese Vorgehensweise ist inzwischen so üblich, dass alle Opfer eines raffinierten Eindringlings davon ausgehen müssen, dass ein Angriff mit Ransomware auch einen Datendiebstahl bedeutet.
Die Angreifer veröffentlichen die gestohlenen Daten auf Leak-Sites, damit Konkurrenten, Kunden, Partner, die Medien und andere davon erfahren können. Diese Websites verfügen oft über Social-Media-Bots, die neue Beiträge automatisch veröffentlichen, so dass es kaum eine Chance gibt, einen Angriff geheim zu halten. Manchmal bieten die Angreifer die Daten im Dark Web oder in cyberkriminellen Netzwerken zur Versteigerung an.
Die größte Sorge für die Opfer könnte jedoch die Art der Daten sein, die die Angreifer stehlen. Es kann sich dabei nicht nur um Betriebsgeheimnisse und geistiges Eigentum handeln. Außerdem graben die Angreifer in der Regel Informationen wie Bankdaten von Unternehmen und Privatpersonen, Rechnungen, Gehaltsabrechnungen, Einzelheiten zu Disziplinarverfahren, Pässe, Führerscheine, Sozialversicherungsnummern und mehr aus.
Zum Beispiel haben in einem Ransomware-Angriff auf einen Transportlogistikanbieter die Angreifer Details zu laufenden Unfalluntersuchungen mit den Namen der beteiligten Fahrer, Todesfällen und anderen damit verbundenen Informationen erbeutet. Die Tatsache, dass diese Informationen an die Öffentlichkeit gelangen würden, erhöhte die ohnehin schon schwierige Situation noch weiter. Dabei handelte es sich um die Hackergruppe Conti
Der Verlust oder die Preisgabe personenbezogener Daten birgt für die Opfer auch die Gefahr eines Verstoßes gegen Datenschutzgesetze wie die europäische Datenschutz-Grundverordnung (DSGVO).
REvil, Conti, Maze, SunCrypt und andere Ransomware-Gruppen haben diese Einschüchterungstaktik angewandt, die für die Empfänger äußerst beunruhigend sein kann.
Die Hintermänner der Ransomware REvil sollen Medien und Geschäftspartner der Opfer angerufen haben, um sie über den Angriff zu informieren und sie aufzufordern, die Opfer zur Zahlung zu bewegen. Außerdem sollen sie einen kostenlosen Dienst eingerichtet haben, der verschlüsselte VOIP-Anrufe für ihre Partner und Kunden bereitstellt.
Bei dieser Taktik werden Personen oder Organisationen, deren Kontaktdaten die Angreifer in den gestohlenen Dateien gefunden haben, per E-Mail oder Post benachrichtigt und aufgefordert, Lösegeld zu zahlen, um ihre Daten zu schützen. REvil, Clop und andere Ransomware-Gruppen verwenden diesen Ansatz.
Conti und RagnarLocker drohen ihren Opfern seit kurzem mit Nachrichten, in denen sie aufgefordert werden, sich nicht an die Strafverfolgungsbehörden zu wenden oder Einzelheiten über Lösegeldverhandlungen mitzuteilen. Damit soll verhindert werden, dass die Opfer Unterstützung von Dritten erhalten, die ihnen helfen könnten, die Zahlung des Lösegelds zu vermeiden. Es deutet auch darauf hin, dass die Hersteller von Ransomware immer mehr darauf bedacht sind, die Aufmerksamkeit der Strafverfolgungsbehörden von ihren Aktivitäten abzulenken.
Eine weitere neue und ungewöhnliche Taktik der Ransomware-Betreiber ist die Anwerbung von Mitarbeitern der betroffenen Unternehmen, die einen Ransomware-Angriff gegen eine Beteiligung am Gewinn ermöglichen sollen. Do haben die Hintermänner von LockBit 2.0 eine Anzeige zur Anwerbung von Insidern aufgesetzt, die ihnen helfen sollten, in das System einzudringen und es zu verschlüsseln und im Gegenzug eine hohe Geldsumme zu verlangen. Der Hinweis, der nach der Verschlüsselung auf den Computern des Opfers erscheint, deutet darauf hin, dass die Angreifer versuchen, Insider in den Unternehmen der Opfer zu rekrutieren, die ihnen dabei helfen, in die Netzwerke von Drittanbietern oder Lieferanten einzudringen – ein zusätzlicher Grund zur Besorgnis für das Opfer und seine Partner.
Nachdem sie in das Netzwerk eingedrungen sind, erstellen viele Ransomware-Angreifer ein neues Domainadministratorkonto und setzen dann die Kennwörter für die anderen Administratorkonten zurück. Das bedeutet, dass sich die IT-Administratoren nicht in das Netzwerk einloggen können, um das System zu reparieren, sondern eine neue Domäne einrichten müssen, bevor sie überhaupt versuchen können, das System aus den Backups wiederherzustellen.
In einem von Sophos Rapid Response untersuchten Vorfall, an dem Lorenz Ransomware beteiligt war, haben die Angreifer Mitarbeiter mit Phishing-E-Mails dazu verleitet, eine Anwendung zu installieren, die den Angreifern vollen Zugriff auf die E-Mail-Konten der Angestellten gewährte, selbst nachdem diese ihre Kennwörter zurückgesetzt hatten. Die Hacker nutzten dann die kompromittierten E-Mail-Konten, um E-Mails an die IT-, Rechts- und Cyberversicherungsteams zu senden, die mit der betroffenen Organisation zusammenarbeiten, und drohten mit weiteren Angriffen, falls sie nicht zahlen würden.
Bei der Erkundung des Netzwerks eines Opfers suchen die meisten Ransomware-Betreiber nach Sicherungskopien, die mit dem Netzwerk oder dem Internet verbunden sind, und löschen diese, damit sich das Opfer nicht auf sie verlassen kann, um verschlüsselte Dateien wiederherzustellen. Dies kann auch die Deinstallation von Sicherungssoftware und das Zurücksetzen virtueller Snapshots umfassen. In einem von Sophos Rapid Response beobachteten Beispiel, an dem DarkSide Ransomware beteiligt war, haben die Angreifer die lokalen Backups des Opfers gelöscht und dann ein kompromittiertes Admin-Konto verwendet, um den Anbieter zu kontaktieren, der die externen Cloud-Backups des Opfers hostet, und ihn zu bitten, die externen Backups zu löschen. Der Anbieter kam der Aufforderung nach, da sie von einem autorisierten Konto ausging. Glücklicherweise war der Anbieter in der Lage, die Backups wiederherzustellen, nachdem er über den Verstoß informiert worden war.
Eine Flut von gedruckten Drohungen ist nicht nur ein Ärgernis für die Papierversorgung, sondern auch beunruhigend für die Mitarbeiter in den Büros. Ransomware-Betreiber wie Egregor und LockBit haben diese Taktik angewandt.
Avaddon, DarkSide, RagnarLocker und SunCrypt haben DDoS-Angriffe (Distributed Denial of Service) eingesetzt, wenn die Lösegeldverhandlungen ins Stocken geraten waren, um die Zielpersonen zur Rückkehr an den Verhandlungstisch zu zwingen. Die Angreifer nutzen DDoS-Angriffe auch als Ablenkung, um IT-Sicherheitsressourcen zu binden, während die Hauptaktivität des Ransomware-Angriffs an anderer Stelle im Netzwerk stattfindet, oder als eigenständige Erpressungsangriffe.
Die Tatsache, dass die Betreiber von Ransomware ihre Angriffe nicht mehr auf die Verschlüsselung von Dateien beschränken, die das Ziel oft aus Backups wiederherstellen kann, zeigt, wie wichtig es für Verteidiger ist, einen umfassenden Sicherheitsansatz zu verfolgen, der fortschrittliche Sicherheit mit der Schulung und Sensibilisierung der Mitarbeiter kombiniert. Es lohnt sich auch, die folgenden Schritte zu überdenken, um die IT-Sicherheit gegen eine breite Palette von Cyberbedrohungen, einschließlich Ransomware, zu verbessern.
Die folgenden Schritte können Unternehmen dabei helfen, mit bedrohlichen Angreiferverhalten umzugehen:
Wenn Sie mehr erfahren möchten, sprechen Sie mit Ihrem Sophos Ansprechpartner, besuchen Sie unsere Website oder starten Sie eine kostenlose Testversion.
Zero-Trust- und Zero-Knowledge-Cybersicherheit zum Schutz von Passwörtern, Zugangsdaten, privilegierten Zugängen, Geheimnissen und Remote-Verbindungen.
Vorwerk Gruppe: knapp 200 Schnittstellen, ein zusätzlicher Wechsel auf ein neues Business-Modell und alles in…
"Wir werden ganz klar im internationalen KI-Vergleich durchgereicht", warnt Christian Korff von Cisco Deutschland im…
Der GenKI-Assistent unterstützt das Engineering in der Industrie. Pilotkunde thyssenkrupp setzt den Copilot weltweit ein.
Ziel ist der Vertrieb gemeinsamer Cloud- und Sicherheitsangebote. Zudem sollen Schwarz´ Büro-Arbeitsplätze auf Google Workspace…
Wie CIOs die hybride Cloud-Infrastruktur optimieren können, erklärt Dominik Meyer von Novatec Consulting.