Eine Einschätzung von John Shier, Senior Sicherheitsberater bei Sophos.
Die frühen Jahre von Ransomware lassen sich mit einer einfachen wechselseitigen Beziehung beschreiben: Man erhielt eine geschickt getarnte E-Mail, klickte auf einen Link oder öffnete einen Anhang und der Computer startete irgendwann den Binärcode der Erpressersoftware, die sämtliche Daten des Nutzers verschlüsselte. Der Wiederherstellungsprozess war recht einfach. Man stellte die Daten aus einem Backup wieder her oder man schickte den Erpressern die geforderten Bitcoins und erhielt im Austausch den Entschlüsselungscode. Doch im Laufe der Zeit fügten die Kriminellen Möglichkeiten zur Kommunikation mit den Opfern hinzu und die Angelegenheit wurde deutlich persönlicher. Diese Konversationen bietet einen dualen Effekt: Nicht nur die Kriminellen steigerten ihre Reputation als „vertrauenswürdige“ Gegner, auch Opfer bekamen teilweise die Möglichkeit, ihre Zahlmodi zu verhandeln.
Patient Null der neuen Ransomware-Methode: City of Johannesburg
Im Oktober 2019 gab die Ransomware-Szene einen kleinen Einblick, was sie noch im Köcher hat. Eine Gruppe, die sich selbst „Shadow Kill Hackers“ nennt, attackierte die Metropole City of Johannesburg und behauptete, Daten von dem kompromittierten System gestohlen zu haben. Der Unterschied hier besteht darin, dass die Angreifer überhaupt keine Dateien verschlüsselt haben. In diesem rein auf Persönliches abzielenden Angriff drohten die Kriminellen damit, finanzbasierte und persönliche Daten der Metropolbewohner zu veröffentlichen, wenn die Bezahlung (4 BTC) nicht innerhalb der Frist stattfände. Die City ließ die Forderung abblitzen und die Angreifer schwiegen. Trotzdem dauerte weniger als einen Monat, bis die neue Angriffsart von verschiedenen anderen Ransomware-Gruppierungen ebenfalls genutzt wurde.
Weitere Ransomware-Gruppen setzen sozialen Druck ein
Die Kriminellen hinter der Maze Ransomware (die sogar regelmäßig eigene Pressemeldungen veröffentlichen) fingen an, diese Taktik des Diebstahls als zusätzliche Drohkulisse in ihr Vorgehen einzubauen. Der erste Vorfall ereignete sich im November 2019, als die Maze-Truppe einen Teilbereich der gestohlenen Opferdaten veröffentlichte, und zwar in einer Demonstration von Macht und zusätzlichem sozialen Druck für die verweigerte Zahlung des Unternehmens. Seitdem sieht man die Maze-Akteure dieses Verhalten kontinuierlich anwenden. Auch andere bekannte Ransomware-Gruppen steigen peu a peu auf diesen Zug auf.
Neue Ära für Ransomware
Nun ist es heutzutage nicht ungewöhnlich, dass ein Opfer von Ransomware-Software damit erpresst wird, Lösegeld zu zahlen damit Daten nicht veröffentlicht werden. Sophos hat sogar einige Machenschaften analysiert, die den Zugang zu einem kompromittierten System dazu nutzen, Mitarbeiter gegen ihre eigenen Führungskräfte und IT-Abteilung auszuspielen. Auch hier wurde mit der Veröffentlichung von gestohlenen Mitarbeiterdaten gedroht, wenn das Unternehmen nicht mit den Erpressern verhandele und bezahle.
Ist diese Angriffsform mit hohem sozialem Druck profitabler als traditionelle Methoden? Für eine klare Einschätzung ist es noch etwas früh, denn diese Vorgehensweise hat eine neue Ransomware-Ära eingeläutet, in der sozialer Druck und Scham genutzt werden, um die Erfolgschancen für die Kriminellen zu erhöhen.
Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de
TC Communications
Telefon: +1 (724) 536839
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (30) 55248198
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de