RSS Feed

Wie jeder clevere Unternehmer wissen Angreifer, dass ihr Geschäft nur so erfolgreich wie ihre neueste Innovation sein kann. Diese Innovationen sind unaufhaltsam, wenn es um das Ziel geht, ungesicherte Organisationen um ihr Geld zu erleichtern.

Bei der neuesten Variante werden Angriffe in ein RaaS-Portfolio integriert („Ransomware-as-a-Service“, Ransomware als Dienstleistung), um den sogenannten Dreifach-Erpressungsangriff zu bilden. Er besteht aus ein wenig Lösegeld, ein wenig DDoS-Erpressung und jeder Menge Ärger. So funktioniert es:

  1. Verschlüsselung. Bei der herkömmlichen Ransomware-Angriffsmethode brechen Cyberkriminelle in ein Netzwerk ein und verschlüsseln wertvolle Daten, sodass das Opfer nicht mehr auf sie (und manchmal auch auf das gesamte System) zugreifen kann. Die Angreifer händigen dann im Austausch gegen ein Lösegeld die Entschlüsselung aus.
  2. Raub. Hierbei extrahieren Cyberkriminelle die Daten, bevor sie das Opfer aussperren. Sie drohen daraufhin, die gestohlenen Daten zu veröffentlichen und/oder sie öffentlich zum Verkauf anzubieten, sofern das Opfer das verlangte Erpressungsgeld nicht zahlt. Bei dieser zweiten Stufe der Erpressung fällt es den Opfern besonders schwer, Ransomware-Gefahren zu ignorieren, denn selbst wenn Daten über Sicherungen wiederhergestellt werden können, besteht dennoch das Risiko der Datenveröffentlichung. Es handelt sich eindeutig um eine wertvolle Einnahmequelle: Coveware schätzt, dass im dritten Quartal 2020 bei knapp der Hälfte der Ransomware-Fälle Datenextraktion zum Einsatz kam.
  3. DDoS-Angriff. DDoS-Angriffe sind eine gängige alleinstehende Erpressungsmethode und gehören mittlerweile auch zum Serviceangebot von RaaS-Dienstleistern. Dadurch wird der Druck auf das Opfer in mehrfacher Hinsicht weiter erhöht: Zunächst bekräftigt der Angreifer damit, dass er eine ernstzunehmende Gefahr darstellt. Des weiteren ist der andauernde Druck ein weiterer Stressfaktor für das Sicherheitsteam, das mit den ersten beiden Vorfällen bereits alle Hände voll zu tun hat.

Cyberkriminelle haben durch die Kombination von Verschlüsselung, Datenraub und DDoS-Angriffen den Ransomware-Hattrick gelandet, der die Wahrscheinlichkeit einer Lösegeldzahlung erhöhen soll. Laut Bleeping Computer waren SunCrypt und Ragnor Locker unter den ersten Anwendern dieser Taktik. Seitdem sind weitere Ransomware-Akteure auf den Zug aufgesprungen, darunter Avaddon und die für den Colonial-Pipeline-Vorfall verantwortliche Gruppe DarkSide.

Aus Sicht der Angreifer ist die Ergänzung der Ransomware-Dienstleistungen durch DDoS-Angriffe ein cleverer Schachzug für das Geschäft. DDoS-Angriffe sind unglaublich günstig, einfach einzuleiten und erhöhen die Wahrscheinlichkeit einer Lösegeldzahlung. Da kann man nicht Nein sagen. Es handelt sich schließlich um ein sehr lukratives Geschäft, und Angreifer fügen ständig neue Waffen zu ihrem bereits vielfältigen Arsenal hinzu. (Wir sehen sogar schon Akteure, die etwas Vergleichbares wie Support-Center einrichten, um Opfer bei der Entschlüsselung zu unterstützen.)

Das Fazit: Durch zusätzliche Druckmittel wird die Wahrscheinlichkeit der Lösegeldzahlung erhöht. Dies macht Ransomware zu einer immer schädlicheren Form der Cyberkriminalität – nicht nur für Unternehmen, sondern auch Regierungen, Schulen und die öffentliche Infrastruktur.

Inzwischen wird auf diese Krise reagiert, beispielsweise durch die Ransomware Task Force (RTF) des Institute for Security and Technology. Die RTF besteht aus einer vielfältigen Gruppe aus Fachkräften aus der Industrie, Regierung, Polizei, Zivilgesellschaft sowie internationalen Organisationen und veröffentlichte kürzlich wesentliche Empfehlungen, um gegen dieses von der Gruppe als dringliches Sicherheitsrisiko bezeichnete Problem vorzugehen. Das ist ein guter Start, doch um Ransomware-Aktivitäten einen bedeutenden Schlag zu versetzen, sind globale Langzeitanstrengungen vonnöten.

In der Zwischenzeit sollten sich Unternehmen an einige grundlegende Schutzmaßnahmen halten:

  • Vermeiden Sie die Verletzung des Netzes. Zu den bewährten Vorgehensweisen gehören die Schulung des Personals zu sorgfältiger Cyberhygiene und die Einrichtung von Netzwerk- und Endpunkt-Cybersicherheitslösungen für die Erkennung von Malware, ungewöhnlicher Aktivität oder Indicators of Compromise (IoCs, Anzeichen auf Kompromittierung).
  • Auf die Grundlagen achten. Sichern Sie wertvolle Daten und testen Sie Wiederherstellungspläne. Führen Sie Verwundbarkeitsauswertungen durch und patchen/aktualisieren Sie Computersysteme entsprechend, um Gefährdungen zu vermeiden.
  • Fortlaufende Threat Intelligence einsetzen. In Bezug auf Threat Intelligence am Ball zu bleiben, kann Unternehmen dabei helfen, IoCs, die Vorboten eines Ransomware-Angriffs sein können, zu erkennen, zu untersuchen oder proaktiv zu jagen.
  • Angemessenen DDoS-Schutz einsetzen. DDoS-Angriffe nehmen an Umfang, Häufigkeit und Komplexität zu. Zu den bewährten Vorgehensweisen für die DDoS-Abwehr gehört eine hybride und intelligente Kombination aus Cloud-basierten und lokalen DDoS-Abwehrmaßnahmen.

Zu guter Letzt sollten Organisationen spezialisierte Cybersecurity-Lösungen einsetzen, die bei der Abwehr aller drei Facetten eines Dreifach-Erpressungsangriffs helfen können.

Learn more about defending triple extortion threats

Visit our resource center

  • ASERT
  • Threat Intelligence
  • DDoS
  • Enterprise
  • Security
  • Service Provider

Subscribe to Our Blog