Opfer von Ransomware-Angriffen von Royal und Akira ab Oktober 2023 wurden das Ziel von Folge-Erpressungsversuchen. Nach der ersten Erpressung meldeten sich vermeintliche Helfer. Sie würden gegen eine hohe Gebühr dafür sorgen, dass die exfiltrierten Daten endgültig gelöscht würden.
Das Forschungsteam Arctic Wolf Labs hat mehrere Fälle untersucht, bei denen Opfer von Ransomware-Angriffen von Royal und Akira ab Oktober 2023 das Ziel von Folge-Erpressungsversuchen waren. In zwei der untersuchten Fälle gaben die Bedrohungsakteure vor, die Opferorganisationen unterstützen zu wollen. Sie boten an, sich in die Serverinfrastruktur der ursprünglich beteiligten Ransomware-Gruppen zu hacken, um die exfiltrierten Daten zu löschen.
Doppelte Erpressung – doppelter Schaden
Soweit bekannt, ist dies der erste veröffentlichte Fall eines Bedrohungsakteurs, der sich als legitimer Security Researcher ausgab und anbot, gehackte Daten einer anderen Ransomware-Gruppe zu entfernen. Obwohl die am zweiten Erpressungsversuch beteiligten Personen als unterschiedliche Akteure dargestellt wurden, vermutet Arctic Wolf Labs auf Basis der analysierten Gemeinsamkeiten der Fälle, dass die nachfolgenden Erpressungsversuche wahrscheinlich von demselben Bedrohungsakteur verübt wurden.
Im ersten Fall kontaktierte im Oktober 2023 eine Organisation, die sich als Ethical Side Group (ESG) bezeichnete, per E-Mail ein Royal-Ransomware-Opfer und behauptete, Zugang zu den ursprünglich von Royal herausgefilterten Opferdaten erhalten zu haben. Royal selbst behauptete in früheren Verhandlungen im Jahr 2022, die Daten gelöscht zu haben.
Interessanterweise hatte ESG in ihren ersten Mitteilungen fälschlicherweise die ursprüngliche Kompromittierung der Ransomware-Gruppe TommyLeaks und nicht der Ransomware Royal zugeschrieben. ESG bot schließlich an, gegen eine Gebühr in die Serverinfrastruktur der Royal Ransomware einzudringen und die Daten der Zielorganisation dauerhaft zu löschen.
Doppelerpressung: 200.000 Euro an Gebühren
Im zweiten Fall im November 2023 kontaktierte ein Unternehmen, das sich als xanonymoux bezeichnete, ein Opfer der Akira-Ransomware-Verschlüsselung. Sie behaupteten Zugang zu einem Server erhalten zu haben auf dem die von Akira exfiltrierten Opferdaten gehostet werden. In der ersten Verhandlung mit Akira einige Wochen zuvor ging es nur um verschlüsselte Systeme. Nie um exfiltrierte Daten.
xanonymoux behauptete, die Serverinfrastruktur von Akira kompromittiert zu haben. Der Bedrohungsakteur bot gegen Gebühr seine Hilfe an, indem er entweder die Daten des Opfers löschte oder ihm Zugriff zu dem Akira-Server verschaffen würde. In allen Fällen sollte die Gebühr bei mindestens 5 Bitcoins liegen, was aktuell etwa 200.000 Euro entspricht.
Es gibt keine Garantie für die Dateilöschung
Das Konzept der Folgeerpressung bei Angriffen ist nicht neu, wie der Zusammenhang mit Conti und Karakurt zeigt. Im Jahr 2021 gab es bereits Karakurt-Erpressungsversuche von Opfern die zuvor Ziel von Ransomware-Angriffen von Conti waren. Darüber hinaus haben Untersuchungen auch Verbindungen zwischen Conti und Akira festgestellt.
Erpresste Unternehmen sollten sich darüber im klaren sein, dass es nach der Zahlung eines Lösegelds für exfiltrierte Opferdaten keine Garantie für die wirkliche Löschung der Daten gibt.
Mehr bei ArcticWolf.com
Über Arctic Wolf Arctic Wolf ist ein weltweiter Marktführer im Bereich Security Operations und bietet die erste cloudnative Security-Operations-Plattform zur Abwehr von Cyber-Risiken. Basierend auf Threat Telemetry, die Endpunkt-, Netzwerk- und Cloud-Quellen umfasst, analysiert die Arctic Wolf® Security Operations Cloud weltweit mehr als 1,6 Billionen Security Events pro Woche. Sie liefert unternehmenskritische Erkenntnisse zu nahezu allen Security Use Cases und optimiert die heterogenen Sicherheitslösungen der Kunden. Die Arctic Wolf Plattform ist bei mehr als 2.000 Kunden weltweit im Einsatz. Sie bietet automatisierte Threat Detection und Response und ermöglicht es Unternehmen jeder Größe, auf Knopfdruck erstklassige Security Operations einzurichten.