Sponsored

Ransomware-Gruppen im Darknet

  • Ransomwarereport
  • security
image

Die schrittweise Veröffentlichung von gestohlenen Datensätzen im Darknet gehört zum Standardrepertoire jeder grösseren Ransomware-Gruppe. Kommt das Opfer den Forderungen der Cyberkriminellen nicht fristgerecht nach, werden dessen Informationen dort zugänglich veröffentlicht.

Die doppelte Erpressung gehört bei Ransomware-Angriffen in der Schweiz längst zum Standard. Bei dieser verschlüsseln Angreifer die Daten ihrer Opfer und drohen zusätzlich damit, vorab entwendete Informationen zu veröffentlichen, wenn kein Lösegeld bezahlt wird. Der Datendiebstahl eröffnet den Cyberkriminellen eine Vielzahl von Möglichkeiten, den Druck auf eine betroffene Organisation fortlaufend zu steigern und diese so zu einer Zahlung zu bewegen.

Erstveröffentlichung

Ist das Opfer der Forderung bis zur ersten Frist nicht nachgekommen, kommt es zur initialen Veröffentlichung: Auf der Darknet-Seite der jeweiligen Ransomware-Gruppe wird ein Eintrag mit öffentlich zugänglichen Informationen über das Unternehmen publiziert. Häufig stammen diese von der Webseite des Opfers selbst. Die veröffentlichten Informationen sind üblicherweise die Internetadresse, eine kurze Beschreibung des Unternehmens und die nächste Frist, zu der Gestohlenes bei fehlender Zahlung veröffentlicht werden wird.

image
Darknet-Seite der Lockbit 2.0-Gruppe mit drei Schweizer Unternehmen
Mit der ersten Veröffentlichung ist öffentlich bekannt, dass die Ransomware-Gruppe zumindest behauptet, das aufgeführte Unternehmen kompromittiert zu haben. Abbildung 1 zeigt eine solche am Beispiel der Lockbit 2.0-Gruppe. Gemäss der Darknet-Seite wurden die Daten von zwei Schweizer Unternehmen bereits veröffentlicht und die Daten des dritten werden in 6 Tagen und rund 21 Stunden ebenfalls publik gemacht. Diese Seiten werden fortlaufend und meist vollautomatisch von interessierten Organisationen und Privatpersonen beobachtet. Kommt es zu einer neuen Veröffentlichung, landet dies in kürzester Zeit auf Twitter, in Threat-Intelligence-Diensten und weiteren Plattformen – häufig noch bevor das Opfer sich selbst des Ransomware-Angriffs bewusst ist. Die beiden Webseiten ransom-db.com und ransom.wiki erlauben beispielsweise, solche Veröffentlichungen zeitnah zu verfolgen.
Ab dem Moment der ersten Veröffentlichung wirkt zusätzlicher Druck auf die betroffene Organisation: Geschäftspartner, Kunden, Presse, weitere interessierte Dritte bis hin zur breiten Öffentlichkeit werden darüber in Kenntnis gesetzt. Diese werden anschliessend den Kontakt suchen und sich eine Meinung über das Unternehmen und die Situation bilden. Je nach Personenkreis möchten sie mehr über den Cybervorfall selbst erfahren, darüber, was das Unternehmen gedenkt dagegen zu tun, oder welche Folgerisiken sich aus dem Cyberangriff für sie selbst ergeben. Besonders häufig kommt auch die Frage auf, warum das Unternehmen die Daten so schlecht schütze. Zur Wahrung eines guten Rufs und einer positiven Wahrnehmung muss die betroffene Organisation in kürzester Zeit eine Kommunikationsstrategie auf die Beine stellen und diese einheitlich und professionell nach aussen und innen umsetzen. Die dafür notwendige Krisenkommunikation ist ein hoch spezialisiertes Feld, welches im Besonderen von der praktischen Erfahrung mit solchen Cyberangriffen profitiert.

Druckaufbau mit den gestohlenen Daten

Weigert sich das Opfer der Erpressung nachzukommen und lässt weitere Fristen verstreichen, werden als Nächstes die gestohlenen Daten veröffentlicht. Hier haben die Ransomware-Gruppen unterschiedliche Vorgehensweisen: Entweder werden die Daten schrittweise in mehreren Wellen oder direkt im Gesamten veröffentlicht. Dies ist von der Ransomware-Gruppe selbst, der Grösse des betroffenen Unternehmens, dessen Bekanntheitsgrad und der Menge der gestohlenen Daten abhängig. Gewisse Ransomware-Gruppen bieten die veröffentlichten Daten als Zip-Archive zum Herunterladen an, andere haben einen in der Darknet-Seite eingebauten Datei-Browser und wiederum andere kombinieren diese Varianten mit sensiblen Dokumenten, die direkt in der Seite als Bilder eingebettet sind.

image
Datei-Browser zum Durchsuchen der von Conti veröffentlichten Dokumente

Systematischer Datendiebstahl

Beim Datendiebstahl gehen die Angreifer systematisch vor. Sie fokussieren sich sehr gezielt auf Daten, die eine besonders hohe Wahrscheinlichkeit haben, von signifikanter Bedeutung oder Vertraulichkeit für das Unternehmen zu sein. Dazu gehören typischerweise E-Mail-Postfächer, Finanzdaten, HR-Daten, Dokumente, die als sensibel markiert oder benannt sind, Dokumente im Zusammenhang mit dem Militär, Passkopien, Kunden- und Mitarbeitendenlisten und vieles mehr.

 


image
Finanzdaten aus einem Datenleck auf der Darknet-Seite von Cl0p


Konsequenzen des Diebstahls
Auch wenn die Angreifer auf die Veröffentlichung der gestohlenen Daten verzichten, ist es ungemein wichtig, sich den potenziellen Folgen des Datendiebstahls bewusst zu werden und die notwendigen Gegenmassnahmen frühzeitig einzuleiten.
Die gestohlenen Daten werden nahezu garantiert personenidentifizierbare Informationen enthalten und damit unter Datenschutzgesetze fallen. Je nach Unternehmensform und Branche gibt es rechtliche Pflichten auf nationaler und internationaler Ebene, deren eine Organisation sich frühzeitig bewusst sein muss. Zur Minimierung der rechtlichen Angriffsoberfläche ist der Beizug von spezialisierten Juristinnen und Juristen von zentraler Bedeutung.
Die entwendeten Daten sind für Angreifer für Folgeangriffe gegen die Geschäftspartner, Kunden und Mitarbeitenden ebenfalls interessant – auch ohne deren Veröffentlichung. Die gestohlenen E-Mail-Postfächer enthalten eine Unmenge an E-Mails und Informationen, die für unterschiedlichste Social-Engineering-Angriffe missbraucht werden können. So lassen sich in den letzten achtzehn Monaten vermehrt Business-Email-Compromise- (BEC) und Phishing-Angriffe im Nachgang eines Ransomware-Angriffs feststellen. Falls es zum fälschlichem transferierte von Vermögenswerten kommt, können diese durch schnelle Reaktion eingefroren und zurückgeholt werden.
Durch Weitergabe in geschlossenen Foren und Signal-Gruppen können die entwendeten Daten wertvolle Informationen für andere Cyberkriminelle liefern und zu neuen Angriffen gegen das Unternehmen führen. Auch deshalb ist im Vorfeld, während und im Nachgang eines solchen Cybervorfalls das Schwachstellenmanagement, Sicherheitsbewusstsein aller Mitarbeitenden in allen Führungsebenen als auch die fortlaufende Weiterentwicklung der Schutzmassnahmen von essenzieller Bedeutung.
Folglich erfordert eine professionelle Reaktion auf Cybervorfälle interdisziplinäre Zusammenarbeit über internationale Grenzen hinweg. Die Fähigkeiten von Fachleuten aus den Bereichen Recht, Technologie, Incident Response, Forensik und Kommunikation werden alle benötigt, um Risiken erfolgreich abzuwehren und ihre Folgen zu bewältigen oder zu mindern. Der Cyber Incident Hub bringt ein Netzwerk führender und erfahrener Partner zusammen, um eine koordinierte Reaktion auf Cybersecurity-Probleme aller Art zu bieten.

Loading

Mehr zum Thema

image

Die Schatten-IT ins Licht setzen

Leuchten Sie die Schatten-IT in Ihrem Unternehmen bis in den letzten Winkel aus und schaffen Sie Transparenz über alle Ihre IT-Systeme, -Anwendungen und -Prozesse.

image

Jetzt hat ein grosser Krypto-Hack Harmony getroffen

Hacker haben Coins im Wert von rund 100 Millionen Dollar aus einem Schlüsselprodukt der US-Kryptofirma gestohlen.

publiziert am 24.6.2022
image

NCSC mahnt: Bitte keine Privatgeräte im Homeoffice

Der Zugriff aufs Firmennetzwerk mit privaten Geräten ist mit erheblichen Risiken verbunden. Das zeigt ein aktueller Ransomware-Angriff.

publiziert am 24.6.2022 6
image

Bericht zeigt russische Cyber­aktivitäten seit Kriegs­beginn

Mit dem russischen Angriffskrieg gehen massive Cyber­kampagnen einher. Diese betreffen die Ukraine, aber auch weitere Länder, darunter die Schweiz, zeigt ein Report.