Laut Security-Experten war es die Ransomware-Gruppe Maze, die Ende des letzten Jahres eine neue Methode bei Ransomware-Kriminellen in Mode brachte. Die Maze-Hacker verschlüsselten nicht nur die Daten ihrer Opfer auf deren Servern, sondern sie erpressten sie auch mit der Drohung, zuvor kopierte Daten im Internet zu veröffentlichen oder zu verkaufen.

Mittlerweile habe sehr viele weitere Ransomware-Angreifer diese Methode aufgegriffen. In der Schweiz geschah dies letzte Woche so bei Stadler Rail. Auch bei den beiden jüngsten erfolgreichen Ransomware-Angriffen im Ausland, die uns bekannt geworden sind, wird mit der Veröffentlichung von internen Daten gedroht. Der Energieversorger Technische Werke Ludwigshafen (TLW) wurde wahrscheinlich das Opfer einer Gruppe namens "Clop". Diese legte nicht nur die TLW-IT lahm, sondern stahl auch Daten von TLW-Kunden, inklusive Kontodaten. TLW bezahlte wahrscheinlich kein Lösegeld und mittlerweile sind die Daten im Darknet veröffentlicht worden. 

Beim australischen Logistikriesen Toll Group schlug letzte Woche eine "Nefilim" genannte Bande zu. Das Unternehmen musste seine Systeme herunterfahren und ist nun daran, sie aus Backups wiederherzustellen. Laut Toll kopierten die Angreifer Daten von einem Server, der Informationen über Toll-Angestellte sowie Verträge mit früheren und gegenwärtigen Kunden enthielt. Laut Toll ist auch Nefilim dafür bekannt, mit der Veröffentlichung von Daten im Darkweb zu drohen. Das Unternehmen erklärte ausdrücklich, dass man kein Lösegeld bezahlt habe. Die Betroffenen müssen also damit rechnen, dass die gestohlenen Daten bald publiziert beziehungsweise bereits im Darkweb verkauft werden.

Unternehmen und andere Organisationen, die Opfer von Ransomware-Angriffen werden, müssen also heutzutage davon ausgehen, dass ihnen auch mit der Veröffentlichung von Unternehmensgeheimnissen gedroht wird. Dass Cyberkriminelle vermehrt zu dieser zweiten Erpressungsmethode greifen, dürfte mit dem Fortschritt bei der Entwicklung von Ransomware-sicheren Backup-Systemen und anderen Security-Tools zur Verhinderung von Verschlüsselungen zu tun haben. Immer mehr potentielle Opfer setzen solche Systeme ein.

Allerdings hat man in der Security-Szene bereits vor rund zwei Jahren bemerkt, dass professionelle Ransomware-Angreifer begonnen hatten, schon lange vor dem Einsatz einer Verschlüsselungssoftware gezielt in die Systeme ihrer Opfer einzudringen. Anfänglich taten sie dies, um sich in Ruhe umzuschauen, Security-Mechanismen auszuhebeln und den besten Zeitpunkt und die besten Angriffsziele für die eigentliche Ransomware-Attacke auszuwählen. Aber wenn die Hacker unbemerkt in einem System sind, können sie gleichzeitig natürlich oft auch Daten stehlen.

Es war also nur eine Frage der Zeit, bis den Hackern klar wurde, dass sie neben Ransomware auch gestohlene Daten als Erpressungsmittel einsetzen könnten. Es dauerte einfach eine Weile – auch Hacker sind nur Menschen.

Für potentielle Opfer dürfte dies bedeuten, dass es nun umso dringlicher wird, nicht nur die Datenverfügbarkeit beziehungsweise -Wiederherstellung im Falle einer Ransomware-Attacke zu verbessern. Gleichzeitig muss auch kontinuierlich höchstes Augenmerk auf die Verhinderung beziehungsweise möglichst rasche Entdeckung von Einbrüchen in die IT-Systeme gelegt werden.