Cyberkriminelle geben sich mit einem Ransomware-Angriff nicht mehr zufrieden, sondern schlachten ihre Opfer regelrecht aus, um ihnen noch einen Erpressungstrojaner hinterherzuschicken. Dahinter steckt oft schon Ransomware-as-a-Service (RaaS).

Wer sich beim Absender über Spam-Mails beschwert, riskiert nicht nur mögliche Kosten, sondern auch, dass das einer Einladung für weitere Erpressungsversuche gleichkommt, wie Behörden immer wieder warnen. Denn Angriffsopfer von Ransomware können sich nicht sicher sein, von derselben oder einer anderen Gruppe nicht nochmal einen Erpressungstrojaner hinterhergeschickt zu bekommen.

Solche Folgeangriffe, in denen die Cyberkriminellen gegen eine Art Schutzgebühr „Hilfe“ anbieten, häufen sich derzeit. Sicherheitsforschende haben mehrere solcher Fälle registriert und dokumentiert. Betroffene der Verschlüsselungstrojaner Akira und Royal etwa wurden in den vergangenen zwei Jahren auch wiederholt Opfer von Folgeattacken.

Die Verfasser der Schreiben haben sich dabei als Sicherheitsforscher ausgegeben und behauptet, sie hätten Zugriff auf die Server der Ransomware-Banden und würden gegen einen Betrag X helfen, die mit Akira und Royal als Druckmittel kopierten Daten zu löschen. In beiden Fällen sollen die „rettenden Engel“ unter anderem Gruppennamen aufgetreten sein.

Die Anschreiben hatten aber verdächtig erscheinende Ähnlichkeiten in der Formulierung und der Kommunikation via Tox-Chat. Es handelt sich dabei um ein neues freizugängliches Peer-to-Peer-Instant-Messaging- und Videotelefonie-Netzwerkprotokoll, das den verschlüsselten Datenaustausch ermöglicht, was es aber auch schwierig macht, den Urheber ausfindig zu machen.

Ob die „Drahtzieher“ von Akira und Royal hinter der Doppel-Erpressung stecken, ist bisher nicht bekannt. Es könnte auch sein, dass eine andere Bande auf den Zug aufgesprungen ist. Außerdem macht für wenig Geld zu habende Ransomware-as-a-Service (RaaS) in den Verbrecherkreisen immer mehr die Runde. Das macht es noch schwieriger, die Angriffe auf eine konkrete Person oder Gruppe zurückzuverfolgen.

Bei den untersuchten Fällen gibt es weitere Ungereimtheiten. So will die Gruppe hinter Akira keine Daten des Opfers kopiert und diese nur verschlüsselt haben. Außerdem haben die „Doppel-Erpresser“ Royal-Angreifer fälschlicherweise der TommyLeaks-Gruppe zugeordnet. Aber das könnte auch Absicht sein oder darauf hindeuten, dass tatsächlich zwei verschiedene Gruppen dahinterstecken.

Ähnliches Vorgehen bei Folgeerpressungsversuchen:

• Erpresser gaben sich als Sicherheitsforscher aus
• Angeblicher Zugriff auf Hosting-Daten aus früheren Kompromittierungen
• Kommunikation via Tox-Chat
• Angebot, den Zugriff auf exfiltrierte Daten nachzuweisen
• Unterstelltes Risiko weiterer Angriffe, wenn die Sicherheitsprobleme nicht behoben werden
• Spezifische Nennung vorher exfiltrierter Datenmengen
• Mindestforderung von mindestens fünf Bitcoin oder fast 200.000 Euro
• Zehn sich auffällig überschneidende Formulierungen in der ersten E-Mail
• Verwendung von file.io für den Nachweis des Zugriffs auf die Opferdaten

Die Quintessenz daraus ist, dass sich ein Mehr an Sicherheit für Unternehmen auf jeden Fall auszahlt. Ohne grundlegende Sicherheits- oder Schutzmaßnahmen wie Multi-Faktor-Authentifizierung (MFA) ist es demnach schwierig, die Infiltrationswege trockenzulegen und Ransomware wirksam zu bekämpfen.

Das deckt sich auch mit den Erkenntnissen und Methoden des Cybersecurity-Spezialisten Axians. Denn ein hohes Maß an Sicherheit entspricht auch den wachsenden Ansprüchen und Regularien in Deutschland und der EU. Unternehmen mit kritischer Infrastruktur sind heute bereits verpflichtet, besondere Sicherheitsmaßnahmen zu treffen. Mit der EU-Richtlinie NIS2, die im Herbst 2024 in nationalstaatliches Recht übergeht, weitet sich der Kreis der betroffenen Unternehmen auf den Mittelstand aus. Damit erhöhen sich auch für sie die Sicherheitsanforderungen.

Wie Axians Ihrem Unternehmen helfen kann, diesen wachsenden Ansprüchen gerecht zu werden, das erfahren Sie hier und in dem umfangreichen Portfolio zur Cybersicherheit des führenden ICT-Dienstleisters.

Quelle Titelbild: Adobe / ZETHA_WORK