19.02.2024

Cyberkriminelle geben sich mit einem Ransomware-Angriff nicht mehr zufrieden, sondern schlachten ihre Opfer regelrecht aus, um ihnen noch einen Erpressungstrojaner hinterherzuschicken. Dahinter steckt oft schon Ransomware-as-a-Service (RaaS).

Wer sich beim Absender über Spam-Mails beschwert, riskiert nicht nur mögliche Kosten, sondern auch, dass das einer Einladung für weitere Erpressungsversuche gleichkommt, wie Behörden immer wieder warnen. Denn Angriffsopfer von Ransomware können sich nicht sicher sein, von derselben oder einer anderen Gruppe nicht nochmal einen Erpressungstrojaner hinterhergeschickt zu bekommen.

Solche Folgeangriffe, in denen die Cyberkriminellen gegen eine Art Schutzgebühr „Hilfe“ anbieten, häufen sich derzeit. Sicherheitsforschende haben mehrere solcher Fälle registriert und dokumentiert. Betroffene der Verschlüsselungstrojaner Akira und Royal etwa wurden in den vergangenen zwei Jahren auch wiederholt Opfer von Folgeattacken.

Die Verfasser der Schreiben haben sich dabei als Sicherheitsforscher ausgegeben und behauptet, sie hätten Zugriff auf die Server der Ransomware-Banden und würden gegen einen Betrag X helfen, die mit Akira und Royal als Druckmittel kopierten Daten zu löschen. In beiden Fällen sollen die „rettenden Engel“ unter anderem Gruppennamen aufgetreten sein.

Gegen einen Betrag X helfen die Betrüger die kopierten Daten zu löschen (Quelle: Adobe Stock / FotoBob).

Auffällige Ähnlichkeiten

Die Anschreiben hatten aber verdächtig erscheinende Ähnlichkeiten in der Formulierung und der Kommunikation via Tox-Chat. Es handelt sich dabei um ein neues freizugängliches Peer-to-Peer-Instant-Messaging- und Videotelefonie-Netzwerkprotokoll, das den verschlüsselten Datenaustausch ermöglicht, was es aber auch schwierig macht, den Urheber ausfindig zu machen.

Ob die „Drahtzieher“ von Akira und Royal hinter der Doppel-Erpressung stecken, ist bisher nicht bekannt. Es könnte auch sein, dass eine andere Bande auf den Zug aufgesprungen ist. Außerdem macht für wenig Geld zu habende Ransomware-as-a-Service (RaaS) in den Verbrecherkreisen immer mehr die Runde. Das macht es noch schwieriger, die Angriffe auf eine konkrete Person oder Gruppe zurückzuverfolgen.

Bei den untersuchten Fällen gibt es weitere Ungereimtheiten. So will die Gruppe hinter Akira keine Daten des Opfers kopiert und diese nur verschlüsselt haben. Außerdem haben die „Doppel-Erpresser“ Royal-Angreifer fälschlicherweise der TommyLeaks-Gruppe zugeordnet. Aber das könnte auch Absicht sein oder darauf hindeuten, dass tatsächlich zwei verschiedene Gruppen dahinterstecken.

Ähnliches Vorgehen bei Folgeerpressungsversuchen:

  • Erpresser gaben sich als Sicherheitsforscher aus
  • Angeblicher Zugriff auf Hosting-Daten aus früheren Kompromittierungen
  • Kommunikation via Tox-Chat
  • Angebot, den Zugriff auf exfiltrierte Daten nachzuweisen
  • Unterstelltes Risiko weiterer Angriffe, wenn die Sicherheitsprobleme nicht behoben werden
  • Spezifische Nennung vorher exfiltrierter Datenmengen
  • Mindestforderung von mindestens fünf Bitcoin oder fast 200.000 Euro
  • Zehn sich auffällig überschneidende Formulierungen in der ersten E-Mail
  • Verwendung von file.io für den Nachweis des Zugriffs auf die Opferdaten

Microsoft und Axians im Kampf gegen RaaS & Co.

Wie Ransomware-as-a-Service funktioniert und wie die Cyberkriminellen vorgehen, hat Microsoft in dem Security Report Cyber Signals durchleuchtet. Darin heißt es unter anderem: „RaaS senkt die Einstiegshürden in die Cyberkriminalität drastisch und verschleiert die eigentlichen Akteure, die hinter dem Zugang zum System, der Infrastruktur und der eigentlichen Erpressung stehen.“

Die Quintessenz daraus ist, dass sich ein Mehr an Sicherheit für Unternehmen auf jeden Fall auszahlt. Ohne grundlegende Sicherheits- oder Schutzmaßnahmen wie Multi-Faktor-Authentifizierung (MFA) ist es demnach schwierig, die Infiltrationswege trockenzulegen und Ransomware wirksam zu bekämpfen.

Schutzmaßnahmen, wie Multi-Faktor-Authentifizierung (MFA), schützen gegen Ransomware (Quelle: Adobe Stock / khunkornStudio).

Das deckt sich auch mit den Erkenntnissen und Methoden des Cybersecurity-Spezialisten Axians. Denn ein hohes Maß an Sicherheit entspricht auch den wachsenden Ansprüchen und Regularien in Deutschland und der EU. Unternehmen mit kritischer Infrastruktur sind heute bereits verpflichtet, besondere Sicherheitsmaßnahmen zu treffen. Mit der EU-Richtlinie NIS2, die im Herbst 2024 in nationalstaatliches Recht übergeht, weitet sich der Kreis der betroffenen Unternehmen auf den Mittelstand aus. Damit erhöhen sich auch für sie die Sicherheitsanforderungen.

Wie Axians Ihrem Unternehmen helfen kann, diesen wachsenden Ansprüchen gerecht zu werden, das erfahren Sie hier und in dem umfangreichen Portfolio zur Cybersicherheit des führenden ICT-Dienstleisters.

Quelle Titelbild: Adobe / ZETHA_WORK

Diesen Beitrag teilen:

Weitere Beiträge

03.12.2024

Die Zukunft der digitalen Signatur: Von der Signaturkarte zur Fernsignatur

Alexander Marschall

Seit 2010 müssen die Akteure der Entsorgungswirtschaft ein elektronisches Signaturverfahren einsetzen. ...

Zum Beitrag
28.11.2024

Studie zeigt fehlende Priorität für OT-Security – wieso die deutsche Industrie handeln muss

Redaktion Digital Chiefs

Intelligente, vernetzte Maschinen im Fertigungsumfeld bringen diverse Vorteile mit sich, machen Produktionsanlagen ...

Zum Beitrag
27.11.2024

„Mit der Digitalisierung gewinnen alle“ – Das ungenutzte digitale Potenzial des deutschen Gesundheitssystems

Dr. Sophie Chung

Das deutsche Gesundheitssystem ist ein Bereich des Alltags, der bislang kaum digitalisiert ist. Weder ...

Zum Beitrag
26.11.2024

Eigene Belegschaft wird immer mehr zum Cyberrisiko

Redaktion Digital Chiefs

Eine große, wachsende Gefahr für die Cybersicherheit geht für Unternehmen und Behörden von den eigenen ...

Zum Beitrag
19.11.2024

Nvidia überrascht mit eigenem KI-Sprachmodell

Redaktion Digital Chiefs

Kein anderes Unternehmen profitiert so vom GenAI-Boom wie Nvidia. Jetzt hat der Grafikchiphersteller ...

Zum Beitrag
14.11.2024

Schleswig-Holstein investiert weiter in den Breitbandausbau

Redaktion Digital Chiefs

Die nördlichen Bundesländer sind mit mehr als einer halben Milliarde Euro Fördermittel beim Breitbandausbau ...

Zum Beitrag