Ransomware-Gruppen drohen immer häufiger mit Datenveröffentlichung

12. Mai 2020, 13:10
  • security
  • breach
  • cyberangriff
  • cybercrime
image

Die Hacker haben neben der Verschlüsselung von Daten ein weiteres Druckmittel gefunden.

Laut Security-Experten war es die Ransomware-Gruppe Maze, die Ende des letzten Jahres eine neue Methode bei Ransomware-Kriminellen in Mode brachte. Die Maze-Hacker verschlüsselten nicht nur die Daten ihrer Opfer auf deren Servern, sondern sie erpressten sie auch mit der Drohung, zuvor kopierte Daten im Internet zu veröffentlichen oder zu verkaufen.
Mittlerweile habe sehr viele weitere Ransomware-Angreifer diese Methode aufgegriffen. In der Schweiz geschah dies letzte Woche so bei Stadler Rail. Auch bei den beiden jüngsten erfolgreichen Ransomware-Angriffen im Ausland, die uns bekannt geworden sind, wird mit der Veröffentlichung von internen Daten gedroht. Der Energieversorger Technische Werke Ludwigshafen (TLW) wurde wahrscheinlich das Opfer einer Gruppe namens "Clop". Diese legte nicht nur die TLW-IT lahm, sondern stahl auch Daten von TLW-Kunden, inklusive Kontodaten. TLW bezahlte wahrscheinlich kein Lösegeld und mittlerweile sind die Daten im Darknet veröffentlicht worden. 
Beim australischen Logistikriesen Toll Group schlug letzte Woche eine "Nefilim" genannte Bande zu. Das Unternehmen musste seine Systeme herunterfahren und ist nun daran, sie aus Backups wiederherzustellen. Laut Toll kopierten die Angreifer Daten von einem Server, der Informationen über Toll-Angestellte sowie Verträge mit früheren und gegenwärtigen Kunden enthielt. Laut Toll ist auch Nefilim dafür bekannt, mit der Veröffentlichung von Daten im Darkweb zu drohen. Das Unternehmen erklärte ausdrücklich, dass man kein Lösegeld bezahlt habe. Die Betroffenen müssen also damit rechnen, dass die gestohlenen Daten bald publiziert beziehungsweise bereits im Darkweb verkauft werden.

Eine logische Entwicklung

Unternehmen und andere Organisationen, die Opfer von Ransomware-Angriffen werden, müssen also heutzutage davon ausgehen, dass ihnen auch mit der Veröffentlichung von Unternehmensgeheimnissen gedroht wird. Dass Cyberkriminelle vermehrt zu dieser zweiten Erpressungsmethode greifen, dürfte mit dem Fortschritt bei der Entwicklung von Ransomware-sicheren Backup-Systemen und anderen Security-Tools zur Verhinderung von Verschlüsselungen zu tun haben. Immer mehr potentielle Opfer setzen solche Systeme ein.
Allerdings hat man in der Security-Szene bereits vor rund zwei Jahren bemerkt, dass professionelle Ransomware-Angreifer begonnen hatten, schon lange vor dem Einsatz einer Verschlüsselungssoftware gezielt in die Systeme ihrer Opfer einzudringen. Anfänglich taten sie dies, um sich in Ruhe umzuschauen, Security-Mechanismen auszuhebeln und den besten Zeitpunkt und die besten Angriffsziele für die eigentliche Ransomware-Attacke auszuwählen. Aber wenn die Hacker unbemerkt in einem System sind, können sie gleichzeitig natürlich oft auch Daten stehlen.
Es war also nur eine Frage der Zeit, bis den Hackern klar wurde, dass sie neben Ransomware auch gestohlene Daten als Erpressungsmittel einsetzen könnten. Es dauerte einfach eine Weile – auch Hacker sind nur Menschen.
Für potentielle Opfer dürfte dies bedeuten, dass es nun umso dringlicher wird, nicht nur die Datenverfügbarkeit beziehungsweise -Wiederherstellung im Falle einer Ransomware-Attacke zu verbessern. Gleichzeitig muss auch kontinuierlich höchstes Augenmerk auf die Verhinderung beziehungsweise möglichst rasche Entdeckung von Einbrüchen in die IT-Systeme gelegt werden.

Loading

Mehr zum Thema

image

Geotech: Huaweis "eiserne Armee" in der Defensive

Huawei-CEO Zhengfei spricht von einem Überlebenskampf, während der internationale Druck zunimmt. Wir haben bei Huawei Schweiz nach Transparenzbemühungen und Geschäftsgang gefragt.

publiziert am 27.9.2022 2
image

Zurich Film Festival – Ticketverkauf dank flexibler Standortvernetzung.

Heute ist das Zurich Film Festival (ZFF) das grösste Herbstfilm-Festival im deutschsprachigen Raum und ein Sprungbrett zu den Oscars. 2005 fand es zum ersten Mal statt.

image

TAP Portugal bestätigt den Klau von Passagierdaten

Nach dem Cyberangriff sind 600 Gigabyte an Daten der Airline veröffentlicht worden – auch von Schweizer Passagieren. Kunden werden vor möglichen Phishing-Angriffen gewarnt.

publiziert am 23.9.2022
image

Nach Angriff warnt Revolut vor Phishing-Kampagne

Bei einem Cyberangriff auf das Fintech-Unternehmen sollen sich Hacker Zugang zu zehntausenden Kundendaten verschafft haben. Revolut bestätigt den Abfluss von Daten.

publiziert am 22.9.2022