Trend 2020: Ransomware nimmt es persönlich

Es ist in der Drohkulisse durch Ransomware ein Trend erkennbar, der beunruhigt: Die Erpresser bedrohen Unternehmen immer öfter, sensible Daten zu veröffentlichen, wenn sie nicht zur Zahlung bereit sind. Nicht selten werden einzelne Mitarbeiter dafür missbraucht.
Eine Einschätzung von John Shier, Senior Sicherheitsberater bei Sophos.

Die frühen Jahre von Ransomware lassen sich mit einer einfachen wechselseitigen Beziehung beschreiben: Man erhielt eine geschickt getarnte E-Mail, klickte auf einen Link oder öffnete einen Anhang und der Computer startete irgendwann den Binärcode der Erpressersoftware, die sämtliche Daten des Nutzers verschlüsselte. Der Wiederherstellungsprozess war recht einfach. Man stellte die Daten aus einem Backup wieder her oder man schickte den Erpressern die geforderten Bitcoins und erhielt im Austausch den Entschlüsselungscode. Doch im Laufe der Zeit fügten die Kriminellen Möglichkeiten zur Kommunikation mit den Opfern hinzu und die Angelegenheit wurde deutlich persönlicher. Diese Konversationen bietet einen dualen Effekt: Nicht nur die Kriminellen steigerten ihre Reputation als „vertrauenswürdige“ Gegner, auch Opfer bekamen teilweise die Möglichkeit, ihre Zahlmodi zu verhandeln.

Patient Null der neuen Ransomware-Methode: City of Johannesburg
Im Oktober 2019 gab die Ransomware-Szene einen kleinen Einblick, was sie noch im Köcher hat. Eine Gruppe, die sich selbst „Shadow Kill Hackers“ nennt, attackierte die Metropole City of Johannesburg und behauptete, Daten von dem kompromittierten System gestohlen zu haben. Der Unterschied hier besteht darin, dass die Angreifer überhaupt keine Dateien verschlüsselt haben. In diesem rein auf Persönliches abzielenden Angriff drohten die Kriminellen damit, finanzbasierte und persönliche Daten der Metropolbewohner zu veröffentlichen, wenn die Bezahlung (4 BTC) nicht innerhalb der Frist stattfände. Die City ließ die Forderung abblitzen und die Angreifer schwiegen. Trotzdem dauerte weniger als einen Monat, bis die neue Angriffsart von verschiedenen anderen Ransomware-Gruppierungen ebenfalls genutzt wurde.

Weitere Ransomware-Gruppen setzen sozialen Druck ein
Die Kriminellen hinter der Maze Ransomware (die sogar regelmäßig eigene Pressemeldungen veröffentlichen) fingen an, diese Taktik des Diebstahls als zusätzliche Drohkulisse in ihr Vorgehen einzubauen. Der erste Vorfall ereignete sich im November 2019, als die Maze-Truppe einen Teilbereich der gestohlenen Opferdaten veröffentlichte, und zwar in einer Demonstration von Macht und zusätzlichem sozialen Druck für die verweigerte Zahlung des Unternehmens. Seitdem sieht man die Maze-Akteure dieses Verhalten kontinuierlich anwenden. Auch andere bekannte Ransomware-Gruppen steigen peu a peu auf diesen Zug auf.

Neue Ära für Ransomware
Nun ist es heutzutage nicht ungewöhnlich, dass ein Opfer von Ransomware-Software damit erpresst wird, Lösegeld zu zahlen damit Daten nicht veröffentlicht werden. Sophos hat sogar einige Machenschaften analysiert, die den Zugang zu einem kompromittierten System dazu nutzen, Mitarbeiter gegen ihre eigenen Führungskräfte und IT-Abteilung auszuspielen. Auch hier wurde mit der Veröffentlichung von gestohlenen Mitarbeiterdaten gedroht, wenn das Unternehmen nicht mit den Erpressern verhandele und bezahle.
Ist diese Angriffsform mit hohem sozialem Druck profitabler als traditionelle Methoden? Für eine klare Einschätzung ist es noch etwas früh, denn diese Vorgehensweise hat eine neue Ransomware-Ära eingeläutet, in der sozialer Druck und Scham genutzt werden, um die Erfolgschancen für die Kriminellen zu erhöhen.

Firmenkontakt und Herausgeber der Meldung:

Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de

Ansprechpartner:
Ariane Wendt
TC Communications
Telefon: +1 (724) 536839
E-Mail: sophos@tc-communications.de
Ulrike Masztalerz
TC Communications
Telefon: +49 (30) 55248198
E-Mail: sophos@tc-communications.de
Thilo Christ
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
Arno Lücht
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel