LockBit war im August aktivste Ransomware-Gruppe

Triple Extortion: Verschlüsselung, Erpressung und zum Schluss noch ein DDoS-Angriff.

Der monatliche Ransomware-Report von Malwarebytes analysiert, welche  Ransomware-Gruppe in Vormonat besonders aktiv war. Im August war erneut LockBit die mit Abstand aktivste Ransomware. Das Threat-Intelligence-Team von Malwarebytes konnte der Ransomware-Gruppe 62 Angriffe zuschreiben, während REvil nur einen Angriff im August startete. 

Ein Teil des Erfolgs von LockBit beruht darauf, dass die Ransomware-Gruppe bisher fatale Fehltritte wie etwa von Conti, REvil oder DarkSide vermieden hat. Aufgrund ihrer Aktivität ist jedoch davon auszugehen, dass auch diese Gruppe bereits die Aufmerksamkeit der US-Strafverfolgungsbehörden auf sich gezogen hat. Zwischen März 2022 und August 2022 hat LockBit 430 bekannte Angriffe in 61 verschiedenen Ländern verübt. Damit war LockBit für jeden dritten bekannten Ransomware-Angriff in diesem Zeitraum verantwortlich. 

Doppelte Erpressung ist Standard

Zweii Ereignisse deuten darauf hin, wie sich die Taktiken von Ransomware-Gruppen über die „Doppelte Erpressung“ hinaus entwickeln könnte. Ursprünglich verlangten Ransomware-Angreifer von ihren Opfern ein Lösegeld für ein Entschlüsselungstool.  Es war nahezu unmöglich, die Dateien ohne dieses Tool zu entschlüsseln. Die Opfer konnten die Zahlung des Lösegelds nur vermeiden, indem sie die verschlüsselten Dateien aus Backups wiederherstellten.

Ende 2019 begann die Gruppe hinter der Maze-Ransomware damit, Dateien von ihren Opfern zu stehlen, bevor sie sie verschlüsselte. Sie drohte damit, die gestohlenen Dateien im Dark-Web zu veröffentlichen. Das gab den Opfern den Anreiz, das Lösegeld zu bezahlen, selbst wenn sie ihr System aus Backups wiederherstellen konnten. Diese Taktik wurde schnell kopiert und ist heute Standard für große Ransomware-Gruppen.

Triple Extortion auf dem Vormarsch

Neu ist die Strategie der dreifachen Erpressung: Im August stahl LockBit in einem Double-Extortion-Angriff Daten des Cybersicherheitsunternehmens Entrust. Laut LockBit bestand die ungewöhnliche Reaktion des Opfers darin, die Ransomware-Gruppe an der Veröffentlichung der gestohlenen Daten zu hindern, indem es einen DDoS-Angriff(Distributed-Denial-of-Service) gegen die Leak-Site der Gruppe startete. Dies inspirierte LockBit, nun das Gleiche zu versuchen. Nachdem die Gruppe gesehen hatte, wie effektiv DDoS-Angriffe sein können, verkündete sie in einem Hackerforum, dass sie nun plant, DDoS neben Verschlüsselung und Erpressung als dritten Schlagstock gegen ihre Opfer einzusetzen. Im Text bezeichnete LockBit die Taktik als „Triple Extortion“.

Die Äußerungen von Ransomware-Gruppen müssen immer mit Vorsicht genossen werden. Potenziell gefährdete Unternehmen sollten die Warnung jedoch ernst nehmen, denn die Vorgehensweise ist tatsächlich nicht neu. Die DDoS-Erpressung ist eine ältere Taktik als das Verschlüsseln von Dateien und das Fordern von Lösegeld. Sie kam in den letzten Jahren einfach weniger zum Einsatz.

Kriminelle Gruppe spezialisieren ihr Portfolio

Seit Ransomware-Gruppen damit begonnen haben, „Big Game“-Taktiken anzuwenden, haben sich die für einen erfolgreichen Angriff erforderlichen Fähigkeiten verändert. Bei einem „Big Game“-Angriff ist die verschlüsselnde Malware nur eine Ressource. Der Erfolg eines Angriffs liegt hingegen in der Fähigkeit, ein Ziel zu finden, dessen Wert zu verstehen und dann in sein Netzwerk einzubrechen, ohne dabei entdeckt zu werden.

Dies hat zu einer erheblichen Spezialisierung geführt, wobei einige kriminelle Gruppen die Software bereitstellen, andere als Zugangsvermittler arbeiten und wieder andere die Angriffe letztlich tatsächlich durchführen. Die Fähigkeiten, die Access Broker und Angreifer entwickelt haben, lassen sich nicht nur für die Verbreitung von Ransomware nutzen, sondern auch für die Überwachung, Sabotage, Spionage und Datenexfiltration.

Wird Ransomware verschwinden?

Wenn also Ransomware keine nennenswerten Einnahmen mehr erzielt, muss davon ausgegangen werden, dass sich Cyberkriminelle andere Angriffsformen nutzen werden. Der Druck, dies zu tun, begann mit verbesserten Backups – und hat sich durch den Krieg Russlands in der Ukraine noch verstärkt. Denn seit Beginn des Krieges ist es für Ransomware-Gruppen aufgrund drohender Sanktionen noch schwieriger geworden, Lösegeldzahlungen zu erhalten. Einige Experten in der Sicherheitsbranche sagen daher das baldige Ende von Ransomware voraus.

Malwarebytes hingegen erwartet keinen plötzlichen Wandel, auch wenn der langfristige Trend sicherlich darin besteht, dass sich Gruppen von der Verschlüsselung abwenden. Tatsache ist, dass einige Gruppen zunehmend Schwierigkeiten haben, ihre Forderungen ohne Verschlüsselung durchzusetzen. Zudem ist Verschlüsselung nach wie vor die Taktik der Wahl bei einer der aktuell erfolgreichsten Ransomware-Gruppen: LockBit.