23. November 2021
Auf welche Daten haben es Ransomware-Angreifer bei der doppelten Erpressung abgesehen?
VERFASST VON
Cybereason Sicherheitsteam
Auf Twitter teilen Auf Facebook teilen Auf Linkedin teilen
Die doppelte Erpressung ist heutzutage eine der am weitesten verbreitesten Ransomware-Taktiken. Die Angreifer exfiltrieren zunächst sensible Informationen von ihrem Ziel, bevor sie die Ransomware-Verschlüsselungsroutine einleiten. Der Angreifer fordert dann eine Lösegeldzahlung, um den Zugriff auf die verschlüsselten Daten wiederzuerlangen. Zusätzlich droht er damit, die Daten öffentlich zu machen oder anderweitig freizugeben, wenn die Lösegeldforderung nicht umgehend erfüllt wird.
Diese Taktik hat sich als sehr effektiv erwiesen, da sie Ransomware-Wiederherstellungsstrategien für Unternehmen untergräbt, die sich im Falle eines Ransomware-Angriffs auf Optionen zur Wiederherstellung von Datensicherungen verlassen wollten. Mit der doppelten Erpressung werden die Möglichkeiten für Unternehmen noch eingeschränkter.
Laut Help Net Security nutzte nur eine Ransomware-Bande diese Taktik im Jahr 2019, aber die erfolgreiche Hebelwirkung wurde innerhalb eines Jahres von anderen Ransomware-Betreibern schnell übernommen. Bis zum Ende des ersten Quartals 2021 beobachteten die Forscher, dass der Prozentsatz der Ransomware-Angriffe die Drohungen enthielten exfiltrierte Daten zu veröffentlichen, wenn eine Lösegeldforderung nicht bezahlt wurde, auf 77 % aller dokumentierten Ransomware-Angriffe gestiegen war.
HÄUFIGE DATENTYPEN IM VISIER VON RANSOMWARE-ANGREIFERN
Diese Zunahme der doppelten Erpressung wirft eine wichtige Frage auf: Auf welche Arten von Daten zielen Ransomware-Angreifer in der Regel ab, um sie zu exfiltrieren und für eine doppelte Erpressung zu nutzen? Das hängt in der Regel von der betroffenen Organisation ab, aber es gibt einige allgemeine Datenkategorien, auf die Ransomware-Angreifer eher abzielen als auf andere. Im Folgenden werden vier dieser Datentypen vorgestellt.
GESCHÜTZTE GESUNDHEITSINFORMATIONEN
Zu den geschützten Gesundheitsinformationen (Protected Health Information, PHI) gehören Krankenakten, Diagnose- und Krankenversicherungsdaten von Patienten. Angreifer haben es auf diese Datenkategorie abgesehen, weil sie wissen, dass Gesundheitseinrichtungen jederzeit Zugriff auf medizinische Informationen benötigen, um Patienten zeitnah behandeln zu können. Aus diesem Grund haben sie ihre Taktik während der COVID-19-Pandemie geändert, um auch diese Art von Daten zu erbeuten.
Laut Wall Street Journal begannen Ransomware-Akteure auf dem Höhepunkt der Pandemie damit, ihre Malware-Nutzlasten schneller in den Netzwerken von Gesundheitsdienstleistern zu verteilen als in denen anderer Organisationen. Bei vielen dieser Angriffe ging es nicht einmal um die Exfiltration gestohlener Daten, sondern die böswilligen Akteure setzten einfach darauf, dass die Opfer zu zahlen bereit sind, damit sie ihre Daten so schnell wie möglich zurückerhalten.
ANDERE SENSIBLE PERSONENBEZOGENE DATEN
Geburtsdaten, Anschriften und Sozialversicherungsnummern (SSN) gehören zu den häufigsten sensiblen persönlichen Daten. Wenn Ransomware-Akteure auf diese Art von Daten abzielen, können sie die Informationen zu Geld machen und sie im Dark Web als Teil eines vollständigen Identitätsprofils verkaufen. Die Käufer können diese Informationen dann für verschiedene Arten von Identitätsdiebstahl oder Betrug nutzen. Sie können diese Informationen beispielsweise nutzen, um eine gefälschte Steuererklärung im Namen des Opfers einzureichen. Sie können damit auch eine Hypothek beantragen oder ein Bankkonto eröffnen und sich dabei als das Opfer ausgeben.
Alternativ können Ransomware-Akteure diese Informationen nutzen, um dreifache Erpressungsversuche durchzuführen. Wie Bleeping Computer berichtet, war Cl0p eine der ersten Ransomware-Banden, die diese Taktik anwandten.
Bei einem im März 2021 entdeckten Angriff hatten die Cl0p-Verantwortlichen beispielsweise E-Mails an die Kunden ihres Ziels verschickt. In diesen teilten sie mit, dass sie deren persönliche Daten gestohlen hätten und beabsichtigen, diese Daten zu veröffentlichen. Die Angreifer wiesen die Kunden dann an, sich schriftlich an das Zielunternehmen zu wenden und es aufzufordern, „ihre Privatsphäre zu schützen“, indem sie das geforderte Lösegeld zahlen.
KONTOANMELDEINFORMATIONEN
Kontodaten, die hauptsächlich aus Benutzernamen und Kennwörtern bestehen, sind für Ransomware-Angreifer wichtig. Die Angreifer benötigen diese Details, um möglichst viele Netzwerke eines Ziels zu infizieren. In einem früheren Blog über die Erkennung komplexer Ransomware-Operationen (RansomOps) haben wir festgestellt, dass die vierte Phase eines typischen Ransomware-Angriffs darin besteht, dass böswillige Akteure Anmeldedaten stehlen, um Zugang zu einem größeren Teil des Zielnetzwerks zu erhalten.
Die böswilligen Personen nutzen diesen Zugang schließlich, um sich seitlich im Netzwerk zu bewegen, um noch mehr Geräte zu verschlüsseln und dadurch eine noch höhere Lösegeldsumme zu fordern.
GEISTIGES EIGENTUM
Geistiges Eigentum umfasst neue Produktveröffentlichungen und/oder Details, die für den Geschäftszweig des Opfers wichtig sind. Wie beim Diebstahl sensibler persönlicher Daten können Ransomware-Akteure das geistige Eigentum eines Opfers im Dark Web zu Geld machen oder es an einen staatlichen Sponsor übergeben.
Eine konkurrierende Organisation kann dann die Informationen auf dem Schwarzmarkt kaufen und sie dazu verwenden, die Geschäftsziele des Opfers zu untergraben. Alternativ kann eine konkurrierende staatliche Regierung die Informationen nutzen, um ihre eigenen Interessen auf Kosten des Gastlandes des Opfers durchzusetzen.
DIE FOLGEN EINES RANSOMWARE-ANGRIFFS
In einem kürzlich erschienenen Bericht haben wir festgestellt, dass Unternehmen verschiedene Konsequenzen erleiden können, wenn es Ransomware-Akteuren gelingt, die oben genannten Datenkategorien zu verschlüsseln und/oder zu exfiltrieren. Zu diesen Folgen gehören die folgenden:
Verlust von Geschäftseinnahmen: Zwei Drittel der Teilnehmer an unserer Umfrage gaben an, dass ihr Unternehmen nach einem Ransomware-Angriff erhebliche Umsatzeinbußen hinnehmen musste.
Schädigung der Marke und des Rufs: Mehr als die Hälfte (53 %) der Umfrageteilnehmer gab an, dass ein erfolgreicher Ransomware-Angriff die Marke und den Ruf ihres Arbeitgebers beschädigt hat.
Verlust von C-Level-Talenten: Etwa ein Drittel der Unternehmen gab an, als direkte Folge eines erfolgreichen Ransomware-Angriffs C-Level-Talente zu verlieren.
Entlassungen von Mitarbeitern: Fast drei von zehn Befragten gaben an, dass sie aufgrund des finanziellen Drucks nach einem erfolgreichen Ransomware-Angriff Mitarbeiter entlassen haben.
Geschäftsschließungen: Ein Viertel der Befragten gab an, dass ihr Arbeitgeber das Unternehmen nach einem Ransomware-Angriff vorübergehend geschlossen hat.
Diese Ergebnisse erklären, warum 81 % der Befragten angaben, dass sie über das Risiko von Ransomware-Angriffen sehr besorgt sind. Sie unterstreichen auch die Notwendigkeit für Unternehmen, ihre Informationen zu schützen.
DER CYBEREASON VORTEIL GEGENÜBER RANSOMWARE
Die beste Strategie für Unternehmen besteht darin, den Erfolg eines Ransomware-Angriffs von vornherein zu verhindern. Um dies zu erreichen, müssen sie in eine mehrschichtige Lösung investieren, die Verhaltensindikatoren (Indicators of Behavior, IOBs) nutzt, um einen Ransomware-Angriff in den frühesten Stadien des anfänglichen Eindringens zu erkennen und zu verhindern, bevor sensible Daten für eine doppelte Erpressung exfiltriert werden – und lange bevor die eigentliche Ransomware-Nutzlast geliefert wird.
Der betriebszentrierte Ansatz von Cybereason bietet die Möglichkeit, RansomOps-Angriffe früher zu erkennen und deshalb ist Cybereason im Kampf gegen Ransomware mit den besten Präventions-, Erkennungs- und Reaktionsfähigkeiten auf dem Markt ungeschlagen.
Anti-Ransomware-Prävention und Täuschung: Cybereason nutzt eine Kombination aus verhaltensbasierten Erkennungs- und proprietären Täuschungstechniken, um die komplexesten Ransomware-Bedrohungen zu erkennen und den Angriff zu beenden, bevor wichtige Daten verschlüsselt werden können.
Intelligenzbasierter Virenschutz: Cybereason blockiert bekannte Ransomware-Varianten, indem es einen ständig wachsenden Pool von Bedrohungsdaten nutzt, die auf zuvor erkannten Angriffen basieren.
NGAV: Cybereason NGAV basiert auf maschinellem Lernen und erkennt bösartige Komponenten im Code, um unbekannte Ransomware-Varianten vor der Ausführung zu blockieren.
Schutz vor dateiloser Ransomware: Cybereason unterbricht Angriffe mit dateiloser und MBR-basierter Ransomware, die von herkömmlichen Antivirus-Tools nicht erkannt werden.
Endpunkt-Kontrollen: Cybereason schützt Endpunkte vor Angriffen durch die Verwaltung von Sicherheitsrichtlinien, die Aufrechterhaltung von Gerätekontrollen, die Implementierung von Personal Firewalls und die Erzwingung der Verschlüsselung ganzer Festplatten über eine Reihe von Gerätetypen – sowohl stationär als auch mobil.
Verhaltensbasierter Dokumentenschutz: Cybereason erkennt und blockiert Ransomware, die sich in den gängigsten Geschäftsdokumentformaten versteckt. Einschließlich solcher, die bösartige Makros und andere heimliche Angriffsvektoren nutzen.
Cybereason hat es sich zur Aufgabe gemacht, mit Verteidigern zusammenzuarbeiten, um Cyberangriffe von Endpunkten bis zum Unternehmen und überall zu beenden – einschließlich moderner Ransomware-Angriffe. Erfahren Sie mehr über die Abwehr von Ransomware oder vereinbaren Sie noch heute einen Termin für eine Demo, um zu erfahren, wie Ihr Unternehmen von einem betriebszentrierten Sicherheitsansatz profitieren kann.
Über Cybereason:
Cybereason ist der Branchenführer in modernster Cybersicherheit. Unsere innovativen Abwehrmechanismen bieten zukunftsorientierten Schutz vor Angriffen für alle Endpunkte Ihres Unternehmens und darüber hinaus – überall dort, wo Bedrohungen stattfinden können. Die Cybereason Defense Platform kombiniert die branchenweit besten Erkennungs- und Abwehrmaßnahmen (EDR und XDR), Virenschutz der nächsten Generation (NGAV) und proaktive Bedrohungssuche, um eine kontextbezogene Analyse der Malops (malicious operation) zu ermöglichen. So können Verteidiger Cyberangriffe von Endgeräten aus und von überall beenden. Cybereason ist ein privates, internationales Unternehmen mit Hauptsitz in Boston, London und München sowie Kunden in mehr als 45 Ländern. Erfahren Sie mehr unter www.cybereason.com/de
Mehr Informationen zu Cybereason und zu weiteren SIEM, SOC und Security Lösungen von scale2gether erhalten Sie gerne in einem persönlichen Präsentationstermin – wir freuen uns über Ihre Kontaktaufnahme!