Wenn sich Ransomware-Banden besonders blöd anstellen

13. August 2021, 11:56
image

Sie sind überaus aktiv und gefürchtet – doch manchmal missraten den Kriminellen ihre Angriffe. Einige der dümmsten Pannen bei Ransomware-Attacken.

Man kennt es von Polizeibehörden, die zwischen ihre Kriminalitätsmeldungen gerne mal eine Nachricht nach dem Motto "dümmer als die Polizei erlaubt" einstreuen, wenn sich in ihrem Berufsalltag eine eher skurrile Geschichte ereignet.
Das machen jetzt auch die Cybersecurity-Spezialisten von Sophos. Ransomware sei längst kein Gelegenheitszeitvertreib mehr, sondern ein kriminelles Geschäft mit hohen Um- und Einsätzen, schreiben sie in einer Mitteilung. "Aber auch Cyberkriminelle sind am Ende nur Menschen, denen selbst perfekt geplante Ransomware-Angriffe mal missraten."
Das Sophos Rapid Response Team habe während seiner Analysen in der letzten Zeit mehrfach über verpatzte Attacken geschmunzelt. Das sind seine Top 5 aus der Serie "Pleiten, Pech und Ransomware":
  1. Die Avaddon-Gruppe wurde von ihrem Opfer gebeten, doch die eigenen Daten zu veröffentlichen – man könne einen Teil nicht wiederherstellen. Die Gruppe, zu dusselig zu verstehen, was ihr Opfer im Sinn hatte, machte die Ankündigung, Opferdaten zu veröffentlichen, wahr. Das betroffene Unternehmen kam so wieder in den Besitz seiner Daten.
  2. Die Maze-Angreifer stahlen eine grosse Menge Daten von einem Unternehmen, nur um dann herauszufinden, dass diese unlesbar waren. Sie waren bereits verschlüsselt worden von der DoppelPaymer Ransomware. Eine Woche vorher. Im Oktober 2020 verkündeten Maze ihren Rücktritt, wobei kaum der Frust über einen schnelleren Konkurrenten den Ausschlag gegeben haben dürfte.
  3. Auch die Conti-Gruppe, die zum Beispiel hinter den Attacken auf die Schweizer Industriefirma Griesser und die irische Gesundheitsbehörde steckte, macht Fehler. Sie verschlüsselte bei einem Angriff ihre eigene, neu installierte Hintertür. Conti hatte Anydesk auf einem infizierten Rechner installiert, um sich einen Fernzugang zu sichern und rollte dann die Ransomware aus, die alles auf dem Gerät verschlüsselte. Natürlich auch Anydesk.
  4. Die Mount-Locker-Bande konnte nicht verstehen, warum ein Opfer sich weigerte zu zahlen, nachdem sie eine Stichprobe von Daten geleakt hatte. Warum auch? Die veröffentlichten Daten gehörten zu einer ganz anderen Firma.
  5. Und dann sind da die nicht namentlich bekannten Angreifer, die die Konfigurations-Dateien für den FTP-Server, den sie zur Datenexfiltration nutzten, zurückliessen. Damit konnte sich das Opfer einloggen und sämtliche gestohlenen Daten löschen.
"Die gegnerischen Pannen, die uns ins Auge fielen, sind ein Beweis dafür, wie überfüllt und kommerzialisiert die Ransomware-Landschaft mittlerweile ist", erklärt Peter Mackenzie, Manager des Sophos Rapid Response Teams. "Als Ergebnis dieses Trends findet man verschiedene Angreifer, die das gleiche potenzielle Opfer anvisieren. Rechnet man den Druck, der von Sicherheitssoftware und Incident Respondern ausgeht, dazu, ist es verständlich, dass die Attacken fehleranfällig werden."

Loading

Mehr zum Thema

image

Eine Zeroday-Lücke lebte bei Microsoft zwei Jahre unbehelligt

Microsoft anerkennt die Schwachstelle "Dogwalk" nach zwei Jahren als Gefahr und veröffentlicht einen Patch. Sie wird bereits ausgenutzt.

publiziert am 16.8.2022
image

Edöb besetzt weitere Stellen wegen der Revision des Datenschutzgesetzes

Derzeit sucht der Datenschutzbeauftragte einen Informatiker für die Leitung von Kontrollen. Im Rahmen des neuen DSG wurden 8 Vollzeitstellen gesprochen.

publiziert am 12.8.2022
image

Cyberattacken abwehren bis zum Burnout

Laut einer aktuellen Umfrage leidet fast die Hälfte aller Incident-Responder unter extremem Stress oder sogar Burnouts.

publiziert am 11.8.2022
image

Cisco bestätigt Cyberangriff

Der Angriff fand bereits im Mai statt, die Cyberkriminellen haben jetzt angeblich erbeutete Daten veröffentlicht. Cisco schildert den Ablauf detailliert.

publiziert am 11.8.2022