Neue Trends bei Ransomware-Angriffen Ransomware und Daten-Exfiltration – eine gefährliche Kombination

Autor / Redakteur: Heiko Frank / Peter Schmitz

Ransomware und die damit verbundenen Attacken begleiten Cybersecurity-Experten bereits seit einigen Jahren und stellt mittlerweile eine der größten Cyberbedrohungen der Gegenwart dar. Für Cybersecurity-Experten besonders alarmierend ist die jüngste Entwicklung, dass Ransomware-Angriffe immer häufiger zusammen mit Datendiebstahl und Daten-Exfiltration auftreten.

Firma zum Thema

Unternehmen kämpfen zunehmend nicht nur mit Ransomware, sondern zeitgleich auch mit erpresserischem Datendiebstahl.
Unternehmen kämpfen zunehmend nicht nur mit Ransomware, sondern zeitgleich auch mit erpresserischem Datendiebstahl.
(© zephyr_p - stock.adobe.com)

Solche Lösegeldforderungen können Unternehmen wirtschaftlich schwer treffen. Aktuelle Forderungen reichen von ein paar hundert Euro bis in die Millionen – der Schaden, der durch den Ausfall der Daten entstehen kann sowie die möglicherweise schwerwiegenden Reputationsverluste, sind hier noch nicht eingerechnet. Hinzu kommt, dass selbst wenn betroffene Unternehmen Lösegeld bezahlen, keinerlei Garantie besteht, dass die Daten schlussendlich auch freigegeben werden. Zusammengefasst ist die Verschlüsselung von Daten für Unternehmen weitaus bedrohlicher als ein simpler Datendiebstahl. Umfassender Schutz vor Ransomware-Attacken sollte dementsprechend die oberste Priorität für jedes Unternehmen sein.

Organisationen mit sensiblen Daten sind besonders gefährdet

Ransomware-Angriffe können auf verschiedene Arten gestartet werden. Besonders beliebt sind Phishing-E-Mails, die einen schädlichen Anhang beherbergen, auf den ersten Blick allerdings wie eine legitim wirkenden Geschäfts-E-Mail aussehen. Einmal heruntergeladen und geöffnet, greift der Virus den Computer des Opfers an und bekommt dabei in einigen Fällen sogar Admin-Zugang. Opfer ahnen zu diesem Zeitpunkt von der Gefahr und dem durchgeführten Angriff oft noch nichts. Unerkannt bahnt sich der Virus auf diese Weise seinen Weg von einem PC zum nächsten, bis schlussendlich das gesamte Netzwerk infiziert ist. Besonders aggressive Formen wie Petrwrap/Petya umgehen Nutzer komplett und infizieren Systeme über bestehende Sicherheitslücken.

Sobald die Malware Zugriff auf den Computer des Opfers erhalten hat, folgt die Verschlüsselung einiger oder aller sensibler Daten und ein Reboot des Systems wird erzwungen. Erst im Rahmen dieses Reboots wird der Nutzer über den erfolgten Angriff sowie die Lösegeldforderung informiert. Das Lösegeld wird dabei üblicherweise in Form von nicht nachverfolgbaren Bitcoins und per Vorauszahlung gefordert. Teil dieser Informationen ist auch, dass der Erpresste den Entschlüsselungscode nach der Zahlung erhalten wird. Darauf verlassen kann man sich allerdings nicht und im schlimmsten Fall bleiben die Daten dauerhaft verschlüsselt.

Während theoretisch jedes Unternehmen Ransomware-Angriffen zum Opfer fallen kann, suchen sich die Angreifer ihre Ziele oftmals aufgrund bestimmter Merkmale aus. Besonders sensible Daten, die Angst vor Reputationsverlusten durch entsprechende Attacken und unzureichende Sicherheitsvorkehrungen reichen bereits aus, um ins Fadenkreuz der Kriminellen zu geraten. Universitäten verfügen beispielsweise oftmals nur über einen geringen Schutz gegen Ransomware und andere Cyber-Attacken, arbeiten zugleich aber häufig mit verschiedenen Filesharing-Diensten. Sie sind daher leichte Beute für Phishing-E-Mails und daher häufig im Fokus von Cyberkriminellen. Kommunen und andere staatliche Einrichtungen hingegen müssen die Verfügbarkeit ihrer Computersysteme rund um die Uhr gewährleisten, schließlich basieren darauf essentielle öffentliche Dienstleistungen. Erfolgt keine schnelle Wiederherstellung der Daten, können beispielsweise polizeiliche Stellen, Notfalleinrichtungen, der öffentlichen Nahverkehr oder das Justizsystem nicht wie gewohnt arbeiten. Entsprechend dringend sind im Umkehrschluss auch die Bemühungen zur Wiederherstellung aller Daten zu gestalten. Für Krankenhäuser und andere Gesundheitseinrichtungen macht der Zugang zu Patientendaten den Unterschied zwischen Leben und Tod aus. Aber auch Finanzinstitute, Anwaltskanzleien und große Unternehmen zahlen zum Teil lieber Lösegeld, als mit einer Ransomware-Attacke in Verbindung gebracht zu werden – vorausgesetzt, sie verfügen über die nötigen Ressourcen.

Die genannten Beispiele zeigen eindeutig, dass Ransomware-Angriffe weitaus gefährlicher sind als einfacher Datendiebstahl. Letzterer ist für Opfer zwar ebenfalls unangenehm, aber immerhin bleibt der Zugriff auf die gestohlenen Daten erhalten. Bei einer Ransomware-Attacke hingegen sind die Daten zunächst verschwunden, was einen normalen Geschäftsbetrieb effektiv unmöglich macht.

Gefährliche Kombination aus Ransomware, Datendiebstahl und Daten-Exfiltration

Ransomware-Attacken werden hinsichtlich ihrer Technologie und Vorgehensweise laufend weiterentwickelt und dadurch immer gefährlicher. Für Cybersecurity-Experten ist dabei insbesondere die jüngste Entwicklung alarmierend, da Ransomware-Angriffe immer häufiger zusammen mit Datendiebstahl und Daten-Exfiltration auftreten. Die Kombination dieser drei Vorgehensweisen stellt eine besonders große Gefahr für Unternehmen und Cybersecurity-Verantwortliche dar.

Konventionelle Daten-Exfiltration ist eine Vermischung aus Datendiebstahl und Erpressung. Dabei dringt ein Hacker in die Sicherheitsstruktur eines Unternehmens ein und filtert Daten nach deren geschätztem Wert. Finanzbelege, geistiges Eigentum eines Unternehmens und sensible Geschäftsinformationen können genauso dazu gehören wie vertrauliche Nachrichten oder geplante Marktaktivitäten. Nachdem der Angreifer die Daten gesichert hat, bestimmt er ihren jeweiligen Wert, indem er sie auf dem Schwarzmarkt potentiellen Interessenten anbietet. Ist dieser Schritt abgeschlossen, kontaktiert der Erpresser das angegriffene Unternehmen und verlangt ein Lösegeld, um den Verkauf der Daten an Dritte zu verhindern. Verantwortliche stehen dadurch vor der schwierigen Situation einen erheblichen Imageschaden, mögliche Strafen von behördlichen Stellen oder andere negative Auswirkungen zu riskieren, sollten die gestohlenen Daten veröffentlicht werden. Die Daten selbst bleiben aber für die Opfer jederzeit zugänglich.

Im Laufe des letzten Jahres ergänzten die Varianten Maze und DopplePaymer traditionelle Ransomware-Attacken um die Dimension der Daten-Exfiltration. Weigert sich bei einer Attacke ein Opfer das Lösegeld zu bezahlen, veröffentlicht der Hacker einen Teil der erbeuteten und verschlüsselten Daten, macht den Angriff damit publik und erhöht den Druck zur Kooperation. Die dadurch entstehende Kombination aus Imageschaden und Datendiebstahl, in Verbindung mit dem operativen Ausfall während der Ransomware-Attacke ist ebenso effektiv wie gefährlich. Das Backup von Daten stellt gegen diese Doppelgefahr keinen alleinigen Schutz mehr dar.

Ransomware-Angriffe in 2020

Mehrere größere Ransomware-Attacken haben die Cybersecurity-Experten im Jahr 2020 aufhorchen lassen und zum Teil sogar überrascht. Garmin, ein großer Technologie-Konzern mit einem weitreichenden Portfolio von GPS-Geräten für Branchen von der zivilen Luftfahrt bis hin zu Personal Fitness, war Ziel eines WastedLocker-Angriffs, der den Zugriff von Millionen Nutzern auf Online-Dienste vorübergehend einfror. Übereinstimmenden Berichten zufolge zahlte Garmin Lösegeld in Höhe von 10 Millionen US-Dollar und erhielt erst dann einen funktionierenden Entschlüsselungscode.

Eine Ransomware-Attacke auf den australischen Getränkekonzern Lion verzögerte zum einen den Ablauf im operativen Geschäft, limitierte aber zugleich auch die Transparenz und Nachverfolgbarkeit innerhalb der Produktion drastisch.

Das weltweit tätige Unternehmen Toll Group mit Sitz in Australien war gleich zwei Ransomware-Angriffen in nur sechs Monaten ausgesetzt. Die Attacken beinhalteten einen massiven Datendiebstahl, der auch Finanzdaten und Rechnungen betraf, und sorgten für monatelange Unterbrechungen im operativen Geschäft. Hatte das Unternehmen anfänglich noch Lösegeldzahlungen abgelehnt, bezeugt die Veröffentlichung von gestohlenen Daten im Dark Web den Einsatz von Daten-Exfiltration.

Und auch der Erpessungstrojaner Emotet feierte im Jahr 2020 sein Comeback mit zahlreichen neuen Angriffen in verschiedenen Ländern. In Frankreich infizierte der Trojaner beispielsweise die PCs im Netzwerk des Pariser Justizsystems.

Gegen diese aggressiven Formen von Ransomware-Angriffen sind konventionelle Cybersecurity-Maßnahmen oft machtlos. Haben Angreifer erst einmal Zugriff auf die Systeme und Daten verschlüsselt, leidet das operative Geschäft durch den Ausfall und Folgeschäden sind unausweichlich. Es gilt, Angreifer gar nicht erst so weit kommen zu lassen – die Etablierung eines umfassenden Zero-Trust-Modells schützt Unternehmen auch gegen die zukünftige Entwicklung von Ransomware und Daten-Exfiltration.

Über den Autor: Heiko Frank ist Principal System Engineer bei A10 Networks.

(ID:47306729)