Warum man Ransomware-Banden nicht bezahlen sollte

6. November 2020, 09:00
image

In fast der Hälfte der Attacken werden mittlerweile auch Daten entwendet. Eine neue Rangliste der Cyberkriminellen zeigt, was dies bedeutet.

Die Strategie von Cyberkriminellen, Daten von Opfern nicht nur zu verschlüsseln, sondern auch zu veröffentlichen, ist mittlerweile weit verbreitet. Nun zeigt eine neue Studie: Lösegeld zahlen, damit die Daten gelöscht oder gar nicht erst publiziert werden, lohnt sich häufig nicht. Die Ransomware-Banden hielten sich kaum an ihre Versprechen, halten die Studienautoren von IT-Security-Spezialist Coveware fest.
Das auf die Unterstützung bei Ransomware-Attacken spezialisierte Unternehmen schreibt, dass mittlerweile in fast der Hälfte der Angriffe gedroht würde, sensible Daten zu veröffentlichen. Ein starker Trend. Zudem zielten die Banden nun noch häufiger auf Grossunternehmen, weil sie dort mit annähernd gleichem Aufwand mehr Geld erbeuten könnten. Dennoch seien auch kleine und mittlere Unternehmen nach wie vor von Ransomware-Angriffen bedroht.
Mit der Methode, Daten zu veröffentlichen, unterlaufen die Kriminellen die Möglichkeit auf die firmeninternen Backups zurückgreifen zu können, um die verschlüsselten Daten wiederherzustellen. Wenn die Drohung der Datenveröffentlichung im Raum stehe, müssten die Opfer zumindest mit den Kriminellen Kontakt aufnehmen, um zu erfahren, was entwendet wurde, so die Studienautoren.
Doch wer zahlt, kann sich seiner Daten noch lange nicht sicher sein. Coveware hat grosse Ransomware-Banden unter die Lupe genommen und hat mehrere Probleme festgestellt: Daten werden teilweise trotz Bezahlung nicht gelöscht. Sie werden mancherorts auch von mehreren Akteuren verwahrt, sodass die Datensätze auch noch vorhanden sind, wenn sich die Erpresser an die Abmachung halten. Zudem kann es vorkommen, dass Daten versehentlich oder auch absichtlich veröffentlicht werden, bevor das Opfer reagieren konnte.

Die drei grössten Ransomware-Banden brechen ihre Versprechen

Quasi Leader im Ransomware-Geschäft ist Sodinokibi mit einem Marktanteil von 16,2 Prozent, wie Coveware festhält. Opfer, die die Bande bezahlt hätten, seien Wochen später mit demselben Datensatz erneut erpresst worden. Die Gruppe – oder zumindest eine Gruppe, die die Malware nutzt – ist auch unter dem Namen REvil bekannt. Sie sorgte im Sommer für Aufsehen, als sie erbeutete Daten öffentlich versteigerte.
Auf Rang zwei in der zweifelhaften Rangliste folgt Maze mit einem Marktanteil von 13,6 Prozent. Die Bande habe, wie die mit ihr verbandelten Sekhmet und Egregor, Daten gepostet, bevor das Opfer begriffen habe, dass die Daten entwendet worden waren, so Coveware. Maze hatte kürzlich erklärt, in den Ruhestand treten zu wollen, die letzte Attacke datiert auf September. Allerdings ist offenbar ein Teil der in der Gruppe aktiven Hacker auf neue Ransomware wie Sekhmet und Egregor umgestiegen.
Das Podest komplettiert Netwalker mit einem Marktanteil von 9,9 Prozent. Auch diese Gruppe hält sich nicht an ihre Versprechen und postet Daten von Unternehmen, die bereits bezahlt haben. Die Bande steckt mutmasslich hinter dem Angriff auf die argentinische Einwanderungsbehörde im September, als auch Passinformationen und Daten von mehr als 11'000 Schweizer Bürgerinnen und Bürgern entwendet wurden.

Mehr Angriffsvektoren, aber kaum raffiniertere Angriffe

Im Gegensatz zu einem Schlüssel für verschlüsselte Daten könnten sich Verhandlungen über gestohlene Daten endlos hinziehen, warnt Coveware. Während der Schlüssel einmal im Besitz ist und dort bleibt, könnten auch vermeintlich gelöschte Daten jeder Zeit wieder auftauchen.
image
Angriffsvektoren nach Firmengrösse. Grafik: Coveware
Eine gute Nachricht hält Coveware aber auch noch bereit: Man habe zwar mehr Angriffsvektoren während des Homeoffice-Booms entdeckt, aber die Angriffe seien nicht viel ausgeklügelter geworden.
Kleinere Firmen werden laut Coveware sehr häufig über das Remote-Desktop-Protokoll (RDP) angegriffen, während bei Grossfirmen nach wie vor Phishing das bevorzugte Einfallstor ist. Aus kleineren Firmen lasse sich weniger Geld erpressen, begründet dies Coveware, darum müsse das Eindringen schneller gehen: Unsichere RDP-Ports oder kompromittierte Credentials liessen sich relativ günstig ausnutzen. Bei grösseren Firmen werde dann – angesichts der besser gefüllten Geldtöpfe – auch mal etwas mehr Aufwand für eine Kampagne in Kauf genommen.

Loading

Mehr zum Thema

image

So arbeiten Googles interne Hacker

Hoodies, Plasmalampen, digitale Brandstiftung. Daniel Fabian, Leiter von Googles Team Red, zeigt Praktiken seiner Hacker-Gruppe.

publiziert am 2.2.2023
image

Wie die Schweizer Bevölkerung die Digitalisierung wahrnimmt

Cybergefahren werden präsenter, E-Government-Vorhaben nicht: Die Stiftung Risiko-Dialog hat der Schweiz auf den digitalen Zahn gefühlt.

publiziert am 2.2.2023
image

Cyberangriff auf Adesso Deutschland

Kriminelle haben Systeme kompromittiert und Daten kopiert. Kundendaten sind laut dem IT-Dienstleister nicht abgeflossen.

publiziert am 2.2.2023
image

Darkweb-Salärstudie: Das sind die Löhne der Cyberkriminellen

Für gefragte Malware-Entwickler gibt es Top-Löhne. Das Durchschnittsgehalt ist aber vergleichsweise bescheiden.

publiziert am 1.2.2023