Gibt es wirklich gute Ransomware-Banden?

In den letzten Jahren hat Ransomware weltweit Chaos angerichtet und ist nach wie vor eine weit verbreitete Bedrohung für fast jede Branche. Ransomware-Angriffe können schwerwiegende Folgen für Organisationen und Unternehmen haben, wie finanzielle Verluste, Marken- und Reputationsschäden, Mitarbeiterentlassungen oder Geschäftsschließungen.

Bei den meisten Ransomware-Angriffen verschlüsseln Ransomware-Betreiber Daten im Netzwerk eines Opfers und halten sie als Geisel im Austausch für ein Lösegeld, das zwischen Hunderten und Millionen von Dollar liegen kann. Wenn ein Unternehmen die Zahlung verweigert, können Hacker Dateien durchsickern oder zerstören oder den Zugang zum kompromittierten Netzwerk an Dritte verkaufen. Ransomware-Betreiber greifen jedoch manchmal zu recht unkonventionellen Methoden, um ihre Opfer zur Zahlung zu bewegen.

Beispielsweise wurde im Mai 2016 eine Ransomware-Variante mit „philanthropischem“ Twist entdeckt, die versprach, das Lösegeld an eine Kinderhilfsorganisation zu spenden.

Ein anderer Robin-Hood-ähnlicher Ransomware-Stamm namens „GoodWill“ verwendet einen anderen Ansatz, um die Opfer dazu zu zwingen, gute Taten zu vollbringen, anstatt Tausende von Dollar für den Entschlüsselungsschlüssel zu zahlen. Wie jede andere Ransomware verschlüsselt GoodWill Daten auf dem kompromittierten System, aber anstatt ein Lösegeld in Kryptowährung zu verlangen, zwingt es das Opfer, den weniger Glücklichen zu helfen, indem es Obdachlosen Kleidung/Decken spendet, arme Kinder ernährt und jedem, der es tut, finanzielle Unterstützung leistet dringend medizinische Hilfe benötigt (und teilen Sie den Beweis dafür in den sozialen Medien).

Auf den ersten Blick mag der ungewöhnliche Ansatz der GoodWill-Ransomware-Betreiber wie ein edles Unterfangen erscheinen, aber die Forderung, dass Menschen freundliche Handlungen ausführen, um ihre verschlüsselten Dateien wiederherzustellen, ist immer noch ein Eingriff in die Privatsphäre, Erpressung und Manipulation.

In der Vergangenheit versuchten einige Ransomware-Gangs, ihr Image mit einem „Robin Hood“-Ansatz aufzubessern. Im Jahr 2020 spendete DarkSide, eine inzwischen aufgelöste Ransomware-Gruppe, die hinter mehreren hochkarätigen Angriffen steht, darunter dem Hack der Colonial Pipeline von 2021, einen Teil der Lösegeldforderungen, die sie zuvor von ihren Opfern erpresst hatte, an zwei Wohltätigkeitsorganisationen.

Aber trotz der Absicht hinter solchen scheinbar „altruistischen“ Bemühungen bleibt der Hauptzweck von Ransomware derselbe: Geld von den Opfern zu erpressen, indem der Zugang zu ihren eigenen Daten blockiert wird.

Da der Ransomware-as-a-Service (RaaS)-Markt floriert, entwickeln Ransomware-Akteure ständig ihre Taktiken und Angriffsmethoden weiter, um die Wirkung eines erfolgreichen Angriffs zu maximieren. Laut einer kürzlich durchgeführten Umfrage beinhalten 83 % der erfolgreichen Ransomware-Angriffe jetzt Drohungen mit doppelter und dreifacher Erpressung zur Lösegeldforderung.

Doppelte Erpressung ist eine Taktik, bei der Cyberkriminelle nicht nur die Daten eines Unternehmens stehlen, sondern auch damit drohen, sie zu veröffentlichen, wenn das Lösegeld nicht gezahlt wird. Unter dreifacher Erpressung fordern Bedrohungsakteure Zahlungen von denen, die von der Bedrohung betroffen sein könnten

Durchsickern der Daten der kompromittierten Organisation. Dreifache Erpressung kann auch zusätzliche Angriffe gegen das ursprüngliche Ziel beinhalten, wenn das Unternehmen sich nicht daran hält.

Die Umfrage ergab, dass 38 % der Unternehmen, die von Ransomware betroffen waren, Angriffe erlebten, bei denen gedroht wurde, Kunden mit gestohlenen Kundendaten zu erpressen, 35 % der Angriffe drohten, Daten im Dark Web offenzulegen, und 32 % drohten, Kunden darüber zu informieren, dass Daten gestohlen wurden.

Darüber hinaus wurden die Daten von 16 % der Organisationen, die sich weigerten, das Lösegeld zu zahlen, im Darknet preisgegeben, und bei 18 % der Opfer, die das Lösegeld gezahlt hatten, waren ihre Daten immer noch durchgesickert. Von den Organisationen, die Ransomware-Betreiber bezahlten, waren 35 % nicht in der Lage, ihre Daten abzurufen.

Schlimmer noch, angesichts der Arbeitsteilung und Zusammenarbeit zwischen verschiedenen Banden auf dem globalen Markt für Cyberkriminalität ist die Bande hinter dem Ransomware-Angriff normalerweise nicht die einzige, die Zugriff auf die gestohlenen Daten hat. Wenn sie also eine Zahlung vom Opfer annehmen, haben sie keine faktischen Mittel, um zu garantieren, dass ihre Komplizen die Daten nicht plötzlich zum Spaß oder aus Profit heraus preisgeben.

Darüber hinaus gab eine Mehrheit (72 %) der befragten Unternehmen zu, dass sich Ransomware-Angriffe schneller entwickeln als die Sicherheitskontrollen, die zum Schutz vor ihnen erforderlich sind. Es wird vorhergesagt, dass Ransomware seine Opfer bis 265 jährlich über 2031 Milliarden US-Dollar kosten wird, wobei alle 2 Sekunden ein neuer Angriff Verbraucher oder Unternehmen treffen wird.

Mit jedem Jahr werden Ransomware-Angriffe immer raffinierter. Ransomware kann jeden Einzelnen oder jede Branche treffen, und kein Unternehmen oder keine Organisation ist tabu. Einigen Berichten zufolge stieg die Zahl der Ransomware-Angriffe allein im Jahr 100 um 2021 %. Darüber hinaus erreichten die durchschnittlichen Kosten eines Ransomware-Verstoßes weltweit einen Rekord von 4.62 Millionen US-Dollar (und diese Zahl beinhaltete nicht einmal die Lösegeldzahlung).

Eine so profitable Bedrohung wie Ransomware wird so schnell nicht verschwinden, nicht zuletzt dank des Zustroms von Ransomware-as-a-Service-Programmen, die kein umfassendes Wissen über das Einbrechen in Computernetzwerke erfordern, aber schnelles Geld machen können.

Hacking-Kampagnen wie Ransomware können einfach über Ransomware-as-a-Service bereitgestellt werden, das mittlerweile von professionellen Cyber-Gangs für Anfänger angeboten wird. Die gleichzeitige Verbreitung von Kryptowährungen macht solche Verbrechen technisch nicht prüfbar, während Strafverfolgungsbehörden und gemeinsame Task Forces bereits mit nationalstaatlichen Angriffen und transnationalen gezielten Angriffen überlastet sind, die darauf abzielen, geistiges Eigentum der größten westlichen Unternehmen zu stehlen.

Daher müssen Organisationen proaktive Schutzregeln implementieren, um das Risiko dieser Bedrohung zu minimieren. Dazu gehört die Entwicklung eines Sicherungs- und Wiederherstellungsplans; Aktualisierung des Betriebssystems und der Software mit den neuesten Patches; Aufrechterhaltung aktueller Antivirus-Lösungen; Scannen sämtlicher aus dem Internet heruntergeladener Software vor der Ausführung; Vorsicht beim Öffnen von E-Mails; Sicherstellen der Kontrolle über die Verbindung externer Geräte, Blockieren ungenutzter Ports auf geschützten Hosts, um unbefugten Zugriff zu verhindern; sowie die Schulung der Mitarbeiter der Organisation in Sicherheitsfragen.