Ransomware 2.0: sensible Veröffentlichungen

Ransomware 2.0 Cyber Attacke Verschlüsselung
Anzeige

Beitrag teilen

Die neue Strategie der Angreifer: sensible Veröffentlichungen. Cyberkrimelle greifen ausgesuchte Unternehmen und Branchen verstärkt im Rahmen gezielter Kampagnen an. Sensible Daten werden nicht mehr nur chiffriert – stattdessen wird mit deren Publikation im Netz gedroht. So sieht laut Kaspersky Ransomware 2.0 aus.

Aktuelle Ransomware-Angriffe zeigen, dass Cyberkriminelle ihre Strategie ändern: Sie gehen weg von einer reinen Verschlüsselung hin zu zielgerichteten Attacken mit der Drohung, vertrauliche Daten zu veröffentlichen, sollte das geforderte Lösegeld nicht gezahlt werden. Zu diesem Schluss kommen die Experten von Kaspersky durch die Analyse der beiden Ransomware-Familien Ragnar Locker und Egregor.

Anzeige

Neue Ransomware-Angriffsstrategien

Kompromittierungen mit Lösegeldforderungen, so genannte Ransomware-Angriffe, gehören landläufig zu den ernstzunehmenden Angriffsszenarien. Sie können nicht nur kritische Geschäftsabläufe stören, sondern auch zu massiven finanziellen Verlusten, in einigen Fällen sogar zum Bankrott der betroffenen Organisation durch Strafzahlungen und rechtliche Klagen führen. So haben Angriffe wie beispielsweise die durch WannaCry schätzungsweise mehr als 4 Milliarden Dollar an finanziellen Verlusten verursacht. Neuere Ransomware-Kampagnen ändern jedoch ihren Modus Operandi: Sie drohen damit, gestohlene Firmeninformationen an die Öffentlichkeit zu bringen. Zwei bekannte Vertreter dieser neuen Art von Ransomware: Ragnar Locker und Egregor

Vorgehensweise von Ragnar Locker und Egregor

Ragnar Locker wurde im Jahr 2019 entdeckt, erreichte aber erst in der ersten Hälfte des Jahres 2020 Bekanntheit, als große Unternehmen angegriffen wurden. Die Attacken sind sehr zielgerichtet, wobei jede schädliche Aktivität auf das beabsichtigte Opfer zugeschnitten ist. Dabei werden vertrauliche Informationen der Unternehmen, die sich weigern zu zahlen, auf der „Wall of Shame“-Seite der Cyberkriminellen veröffentlicht. Wenn das Opfer mit den Angreifern kommuniziert und sich dann weigert zu zahlen, wird dieser Chat ebenfalls veröffentlicht. Die Hauptziele sind Unternehmen in den USA aus verschiedenen Branchen. Im vergangenen Juli gab Ragnar Locker bekannt, dem Maze-Ransomware-Kartell beigetreten zu sein. Dies bedeutet, dass es seitdem zu einem Austausch gestohlener Informationen und einer konkreten Zusammenarbeit zwischen beiden gekommen ist. Maze hat sich 2020 zu einer der bekanntesten Ransomware-Familien entwickelt.

Anzeige

Das Opfer hat nur 72 Stunden Zeit

Egregor wurde erstmals im vergangenen September entdeckt. Die Malware verwendet viele identische Taktiken und teilt zudem Code-Ähnlichkeiten mit Maze. Sie wird in der Regel durch einen Einbruch in das Netzwerk implementiert; sobald die Daten des Zielunternehmens herausgefiltert wurden, bekommt das Opfer 72 Stunden Zeit, um das Lösegeld zu zahlen, bevor die gestohlenen Informationen veröffentlicht werden. Wenn die betroffene Organisation die Zahlung verweigert, veröffentlichen die Angreifer den Namen und Links zum Download der vertraulichen Unternehmensdaten auf ihrer Leak-Seite.

Der Angriffsradius von Egregor ist dabei wesentlich größer als von Ragnar Locker. Die hinter dieser Ransomware stehenden Cyberkriminellen haben Opfer in ganz Nordamerika, Europa und Teilen der APAC-Region ins Visier genommen.

Ransomware 2.0 auf dem Vormarsch

„Wir erleben gerade einen Anstieg von Ransomware 2.0, das heißt, Angriffe werden immer zielgerichteter und der Schwerpunkt liegt nicht mehr nur auf der Verschlüsselung vertraulicher Daten, sondern auf dem Konzept diese online zu veröffentlichen“, kommentiert Dmitry Bestuzhev, Leiter des Global Research and Analysis Team (GReAT) Lateinamerika bei Kaspersky. Dadurch wird nicht nur der Ruf eines Unternehmens gefährdet, sondern es besteht auch die Gefahr von Klagen, wenn die veröffentlichten Daten gegen Vorschriften wie den HIPAA (Health Insurance Portability and Accountability Act) oder die DSVGO verstoßen. Es steht also mehr auf dem Spiel als nur ein finanzieller Verlust.“

„Deshalb dürfen Unternehmen Bedrohungen durch Ransomware nicht mehr nur eindimensional als nur eine Art von Malware betrachten“, fügt Fedor Sinitsyn, Sicherheitsexperte bei Kaspersky, hinzu. „Tatsächlich ist die Ransomware häufig nur die letzte Stufe einer Netzwerk-Kompromittierung. Zu dem Zeitpunkt an dem eine Erpressungssoftware ausgeführt wird, hat der Angreifer bereits vorab das gesamte Netzwerk durchforstet, vertrauliche Daten identifiziert und diese extrahiert. Es ist wichtig, dass Unternehmen die gesamte Palette der bewährten Verfahren für Cybersicherheit umsetzen. Eine frühzeitige Erkennung von Cyberattacken, bevor die Angreifer ihr avisiertes Ziel erreichen, kann Unternehmen viel Geld sparen.“

Mehr dazu bei SecureList bei Kaspersky.com

 


Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/


 

Passende Artikel zum Thema

Kein Mensch, kein Bot – ein Hacker!

Viele seriöse Unternehmen sichern ihre Webseiten durch eine sogenannte reCaptcha-Abfrage ab. Im Dauer-Clinch zwischen Cybersicherheit und Cyberkriminalität finden Hacker erfahrungsgemäß ➡ Weiterlesen

Hacker-Barrieren: Kontenmissbrauch mit Least Privilege-Ansatz verhindern

Bei traditionellen perimeterbasierten Sicherheitskonzepten haben Cyberkriminelle meist leichtes Spiel, wenn sie diesen Schutzwall erst einmal durchbrochen haben. Besonders im Fadenkreuz ➡ Weiterlesen

Kryptominer „Golang“ schürft in Windows-Systemen

Neue Variante der Kryptominer-Malware "Golang" attackiert neben Linux- auch gezielt Windows-basierte Rechner und nun vorzugsweise auch lohnenswerte Serverstrukturen. „Totgesagte leben ➡ Weiterlesen

AV-TEST: Android-Security-Apps für Unternehmen

Das Labor von AV-TEST hat eine neue Testreihe für Android-Sicherheits-Apps für Unternehmen gestartet. Im ersten Test stellt AV-TEST anhand von ➡ Weiterlesen

Sicherheitsfragen in Zeiten des Remote Work: IT-Experten antworten

Mit der Pandemiekrise, die Mitarbeiter weltweit an den heimischen Schreibtisch schickte, kamen auf Security-Verantwortliche in Unternehmen über Nacht neue Herausforderungen ➡ Weiterlesen

Insider-Bedrohungen durch ausscheidende Mitarbeiter

Viele Unternehmen sind so sehr damit beschäftigt, externe Angreifer aus ihren sensiblen Netzwerken fernzuhalten, dass sie eine andere, möglicherweise noch ➡ Weiterlesen

Ransomware: Das Wirtschaftssystem hinter der Daten-Geiselnahme

Durch die enorme Professionalisierung der Vertriebswege wie Ransomware-as-a-Service (RaaS), benötigen Angreifer nicht mehr zwingend tiefgreifende technische Fähigkeiten, sondern vielmehr unternehmerisches ➡ Weiterlesen

Bitglass-Report: BYOD-Sicherheitsmaßnahmen sind oft unzureichend

Cloud-Sicherheitsanbieter Bitglass hat seinen BYOD Report 2020 veröffentlicht, in dem die Nutzung und Sicherheit persönlicher Geräte (Bring Your Own Device, ➡ Weiterlesen