Die Zahl der Opfer von Lösegeld-Attacken ist mittlerweile hoch. Unter den Opfern sind viele, die sich auf ihre Back-up-Strategien verlassen konnten und keine Lösegeldsumme bezahlen mussten. Aber, was die Angreifer verärgert, macht sie gleichzeitig auch findiger. Um immer am längeren Hebel zu sitzen, haben sie nun ihre Taktik geändert in: Erst stehlen, dann erpressen, dann nochmals erpressen.

Dass Misserfolg am Ego der Erpresser rüttelt, kann man sich vorstellen. Kriminelle aller Genres müssen aber immer damit rechnen, dass Opfer oder potenzielle Opfer sich auf ihre Maschen einstellen und sich dagegen rüsten. Opfer haben inzwischen natürlich von anderen Opfern gelernt, reagieren nun schneller und machen auch fleißig ihre Back-ups. Folglich sinken die Erfolgsquoten der Hacker und deren Umsätze werden auch nicht besser durch höhere Lösegeldforderungen. Sie müssen also Umdenken – und das haben sie, wie Forscher nun herausgefunden haben.

Bisher liefen die Ransomware-Angriffe so ab, dass die Opfer von einer reinen Verschlüsselung ihrer Daten ausgehen konnten. Gleichzeitig vertrauten sie darauf, dass sie diese wieder Freischalten könnten, durch die Zahlung des Lösegelds. Sie vertrauten gleichzeitig auch darauf, dass die Angreifer keine Daten kopiert oder gestohlen hatten. Das ändert sich nun. Forscher haben herausgefunden, dass die Erpresser-Ringe hinter der REvil-Ransomware nun ganz gezielt zuerst Daten stehlen bevor sie die Systeme ihrer Opfer verschlüsseln. Damit haben sie ein extra Druckmittel zur Hand, falls die Opfer nicht zahlen. Sie können dann damit drohen, die gestohlenen Daten zu veröffentlichen oder im Darknet zu verkaufen. So oder so – die Kasse klingelt.

REvil, wie auch die Maze Ransomware, sind besonders hinterlistige Schadprogramme der Kriminellen. Sie werden seit 2019 mit großem Erfolg eingesetzt. Speziell Maze ist nützlich für die neue Taktik der doppelten Erpressung. Angreifer müssen sich damit auch nicht mehr auf die uneleganten Phishing-Angriffe oder dergleichen verlassen. Beide Malwarestränge nutzen bekannte Schwachstellen in VPN Server oder anderen internetseitigen Systemen aus, die nicht gepatcht wurden. Daten werden vor der eigentlichen Ransomware-Attackeunbemerkt abgesaugt.

Sicherheitsforscher haben sich auf der eigens eingerichteten Webseite der Maze-Akteure umgesehen. Diese Webseite im Darknet listet alle Opfer auf, die sich nicht kooperativ gezeigt haben. Zum Beweis werden dort auch Auszüge aus den gestohlenen Datenpaketen veröffentlicht. Die Liste der Opfer sei inzwischen recht lang, hieß es. Und einige Opfer, wie die amerikanische Stadt Pensacola, haben gezahlt, damit die betroffenen Daten von der Webseite entfernt werden. REvil-Angreifer veröffentlichen ihre gestohlenen Daten auf russischen Hacker-Foren.

Eine gute Back-up-Strategie wird den Opfern künftig also nicht viel nutzen. Was zählt, ist die eigenen Systeme und die Daten grundlegend besser zu schützen. Neue Strategien der Opfer sind nun gefragt.

Siehe auch:

• Britischer Bezirk Redcar and Cleveland kämpfen mit Ransomware
• Ransomware Angreifern auf den Fersen
• Stadt Sparks in Nevada denkt nach Ransomware Attacke um
• Ransomware trifft Krankenhaus in Wyoming, USA
• Ransomware BitPaymer trifft deutsches Unternehmen für Automatisierungstechnik
• Lake City in Florida: wegen Ransomware gefeuerter IT-Manager wehrt sich
• Ransomware überall und kein Ende in Sicht – jedoch Texas Angreifer mit langen Gesichtern
• NSA-Tool EternalBlue taucht in US-Ransomware Angriffe auf
• Bundesstaat Florida kämpft mit Ransomware-Attacken
• Machen Lösegeldzahlungen bei Ransomware betriebswirtschaftlich Sinn?

Artikel von arstechnica.com, 07.02.2020: Why you can’t bank on backups to fight ransomware anymore

Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0