Ransomware: Immer öfter zieht eine Erpressung die nächste nach sich

Cyberkriminelle geben sich mit einem Ransomware-Angriff nicht mehr zufrieden, sondern schlachten ihre Opfer regelrecht aus, um ihnen noch einen Erpressungstrojaner hinterherzuschicken. Dahinter steckt oft schon Ransomware-as-a-Service (RaaS).

Wer sich beim Absender über Spam-Mails beschwert, riskiert nicht nur mögliche Kosten, sondern auch, dass das einer Einladung für weitere Erpressungsversuche gleichkommt, wie Behörden immer wieder warnen. Denn Angriffsopfer von Ransomware können sich nicht sicher sein, von derselben oder einer anderen Gruppe nicht nochmal einen Erpressungstrojaner hinterhergeschickt zu bekommen.

Solche Folgeangriffe, in denen die Cyberkriminellen gegen eine Art Schutzgebühr „Hilfe“ anbieten, häufen sich derzeit. Sicherheitsforschende haben mehrere solcher Fälle registriert und dokumentiert. Betroffene der Verschlüsselungstrojaner Akira und Royal etwa wurden in den vergangenen zwei Jahren auch wiederholt Opfer von Folgeattacken.

Die Verfasser der Schreiben haben sich dabei als Sicherheitsforscher ausgegeben und behauptet, sie hätten Zugriff auf die Server der Ransomware-Banden und würden gegen einen Betrag X helfen, die mit Akira und Royal als Druckmittel kopierten Daten zu löschen. In beiden Fällen sollen die „rettenden Engel“ unter anderem Gruppennamen aufgetreten sein.

Gegen einen Betrag X helfen die Betrüger die kopierten Daten zu löschen (Quelle: Adobe Stock / FotoBob).

Auffällige Ähnlichkeiten

Die Anschreiben hatten aber verdächtig erscheinende Ähnlichkeiten in der Formulierung und der Kommunikation via Tox-Chat. Es handelt sich dabei um ein neues freizugängliches Peer-to-Peer-Instant-Messaging- und Videotelefonie-Netzwerkprotokoll, das den verschlüsselten Datenaustausch ermöglicht, was es aber auch schwierig macht, den Urheber ausfindig zu machen.

Ob die „Drahtzieher“ von Akira und Royal hinter der Doppel-Erpressung stecken, ist bisher nicht bekannt. Es könnte auch sein, dass eine andere Bande auf den Zug aufgesprungen ist. Außerdem macht für wenig Geld zu habende Ransomware-as-a-Service (RaaS) in den Verbrecherkreisen immer mehr die Runde. Das macht es noch schwieriger, die Angriffe auf eine konkrete Person oder Gruppe zurückzuverfolgen.

Bei den untersuchten Fällen gibt es weitere Ungereimtheiten. So will die Gruppe hinter Akira keine Daten des Opfers kopiert und diese nur verschlüsselt haben. Außerdem haben die „Doppel-Erpresser“ Royal-Angreifer fälschlicherweise der TommyLeaks-Gruppe zugeordnet. Aber das könnte auch Absicht sein oder darauf hindeuten, dass tatsächlich zwei verschiedene Gruppen dahinterstecken.

Ähnliches Vorgehen bei Folgeerpressungsversuchen:

  • Erpresser gaben sich als Sicherheitsforscher aus
  • Angeblicher Zugriff auf Hosting-Daten aus früheren Kompromittierungen
  • Kommunikation via Tox-Chat
  • Angebot, den Zugriff auf exfiltrierte Daten nachzuweisen
  • Unterstelltes Risiko weiterer Angriffe, wenn die Sicherheitsprobleme nicht behoben werden
  • Spezifische Nennung vorher exfiltrierter Datenmengen
  • Mindestforderung von mindestens fünf Bitcoin oder fast 200.000 Euro
  • Zehn sich auffällig überschneidende Formulierungen in der ersten E-Mail
  • Verwendung von file.io für den Nachweis des Zugriffs auf die Opferdaten

Microsoft und Axians im Kampf gegen RaaS & Co.

Wie Ransomware-as-a-Service funktioniert und wie die Cyberkriminellen vorgehen, hat Microsoft in dem Security Report Cyber Signals durchleuchtet. Darin heißt es unter anderem: „RaaS senkt die Einstiegshürden in die Cyberkriminalität drastisch und verschleiert die eigentlichen Akteure, die hinter dem Zugang zum System, der Infrastruktur und der eigentlichen Erpressung stehen.“

Die Quintessenz daraus ist, dass sich ein Mehr an Sicherheit für Unternehmen auf jeden Fall auszahlt. Ohne grundlegende Sicherheits- oder Schutzmaßnahmen wie Multi-Faktor-Authentifizierung (MFA) ist es demnach schwierig, die Infiltrationswege trockenzulegen und Ransomware wirksam zu bekämpfen.

Schutzmaßnahmen, wie Multi-Faktor-Authentifizierung (MFA), schützen gegen Ransomware (Quelle: Adobe Stock / khunkornStudio).

Das deckt sich auch mit den Erkenntnissen und Methoden des Cybersecurity-Spezialisten Axians. Denn ein hohes Maß an Sicherheit entspricht auch den wachsenden Ansprüchen und Regularien in Deutschland und der EU. Unternehmen mit kritischer Infrastruktur sind heute bereits verpflichtet, besondere Sicherheitsmaßnahmen zu treffen. Mit der EU-Richtlinie NIS2, die im Herbst 2024 in nationalstaatliches Recht übergeht, weitet sich der Kreis der betroffenen Unternehmen auf den Mittelstand aus. Damit erhöhen sich auch für sie die Sicherheitsanforderungen.

Wie Axians Ihrem Unternehmen helfen kann, diesen wachsenden Ansprüchen gerecht zu werden, das erfahren Sie hier und in dem umfangreichen Portfolio zur Cybersicherheit des führenden ICT-Dienstleisters.

Quelle Titelbild: Adobe / ZETHA_WORK

Diesen Beitrag teilen:

Weitere Beiträge

Industrieunternehmen sind einer deutlich erhöhten Bedrohungslage ausgesetzt

Wie dem Jahresbericht von TXOne Networks zu entnehmen ist, hat sich die Sicherheitslage von Produktionsunternehmen ... »

05.04.2024 | Redaktion Digital Chiefs

Mehr IT- und OT-Sicherheit durch künstliche Intelligenz

Künstliche Intelligenz dient Hackern immer mehr als Waffe, lässt sich aber auch einsetzen, um solche ... »

04.04.2024 | Redaktion Digital Chiefs