Wenn sich Ransomware-Banden besonders blöd anstellen

13. August 2021 um 11:56
image

Sie sind überaus aktiv und gefürchtet – doch manchmal missraten den Kriminellen ihre Angriffe. Einige der dümmsten Pannen bei Ransomware-Attacken.

Man kennt es von Polizeibehörden, die zwischen ihre Kriminalitätsmeldungen gerne mal eine Nachricht nach dem Motto "dümmer als die Polizei erlaubt" einstreuen, wenn sich in ihrem Berufsalltag eine eher skurrile Geschichte ereignet.
Das machen jetzt auch die Cybersecurity-Spezialisten von Sophos. Ransomware sei längst kein Gelegenheitszeitvertreib mehr, sondern ein kriminelles Geschäft mit hohen Um- und Einsätzen, schreiben sie in einer Mitteilung. "Aber auch Cyberkriminelle sind am Ende nur Menschen, denen selbst perfekt geplante Ransomware-Angriffe mal missraten."
Das Sophos Rapid Response Team habe während seiner Analysen in der letzten Zeit mehrfach über verpatzte Attacken geschmunzelt. Das sind seine Top 5 aus der Serie "Pleiten, Pech und Ransomware":
  1. Die Avaddon-Gruppe wurde von ihrem Opfer gebeten, doch die eigenen Daten zu veröffentlichen – man könne einen Teil nicht wiederherstellen. Die Gruppe, zu dusselig zu verstehen, was ihr Opfer im Sinn hatte, machte die Ankündigung, Opferdaten zu veröffentlichen, wahr. Das betroffene Unternehmen kam so wieder in den Besitz seiner Daten.
  2. Die Maze-Angreifer stahlen eine grosse Menge Daten von einem Unternehmen, nur um dann herauszufinden, dass diese unlesbar waren. Sie waren bereits verschlüsselt worden von der DoppelPaymer Ransomware. Eine Woche vorher. Im Oktober 2020 verkündeten Maze ihren Rücktritt, wobei kaum der Frust über einen schnelleren Konkurrenten den Ausschlag gegeben haben dürfte.
  3. Auch die Conti-Gruppe, die zum Beispiel hinter den Attacken auf die Schweizer Industriefirma Griesser und die irische Gesundheitsbehörde steckte, macht Fehler. Sie verschlüsselte bei einem Angriff ihre eigene, neu installierte Hintertür. Conti hatte Anydesk auf einem infizierten Rechner installiert, um sich einen Fernzugang zu sichern und rollte dann die Ransomware aus, die alles auf dem Gerät verschlüsselte. Natürlich auch Anydesk.
  4. Die Mount-Locker-Bande konnte nicht verstehen, warum ein Opfer sich weigerte zu zahlen, nachdem sie eine Stichprobe von Daten geleakt hatte. Warum auch? Die veröffentlichten Daten gehörten zu einer ganz anderen Firma.
  5. Und dann sind da die nicht namentlich bekannten Angreifer, die die Konfigurations-Dateien für den FTP-Server, den sie zur Datenexfiltration nutzten, zurückliessen. Damit konnte sich das Opfer einloggen und sämtliche gestohlenen Daten löschen.
"Die gegnerischen Pannen, die uns ins Auge fielen, sind ein Beweis dafür, wie überfüllt und kommerzialisiert die Ransomware-Landschaft mittlerweile ist", erklärt Peter Mackenzie, Manager des Sophos Rapid Response Teams. "Als Ergebnis dieses Trends findet man verschiedene Angreifer, die das gleiche potenzielle Opfer anvisieren. Rechnet man den Druck, der von Sicherheitssoftware und Incident Respondern ausgeht, dazu, ist es verständlich, dass die Attacken fehleranfällig werden."

Loading

Mehr zum Thema

image

Vogt am Freitag: Die halbe Wahrheit

Auf den ersten Blick lässt die 'NZZ' in einem Artikel zum erlebten Cyberangriff die Hosen runter. Bei genauem Hinsehen fehlen aber wichtige Informationen.

publiziert am 23.2.2024 1
image

3 Millionen für externe Security-Spezialisten im Kanton Zug

Die Innerschweizer brauchen Unterstützung im Aufbau und Betrieb eines Security Operation Centers.

publiziert am 23.2.2024
image

Die Schlinge um Lockbit zieht sich zu

Eine internationale Polizeiaktion hat die Ransomware-Bande empfindlich getroffen. Dennoch lässt sich ein Comeback der Cyberkriminellen nicht ganz ausschliessen.

publiziert am 22.2.2024
image

Haufenweise Kundendaten von Schweizer Personalvermittler gestohlen

Die Firma Das Team ist eines der jüngsten Opfer der Ransomware-Bande Black Basta. Sie publizierte eine Vielzahl heikler Daten im Darkweb.

publiziert am 22.2.2024 14