Ransomware: HardBit 2.0 fragt nach Cyberversicherung

Ransomware: HardBit 2.0 fragt nach Cyberversicherung

Beitrag teilen

Die Gruppe der Ransomware HardBit 2.0 fragt nach einer erfolgreichen Attacke das Unternehmen nach Cyberversicherungsinformationen. So will die Gruppe ihre Forderungen an die Versicherungssumme anpassen und gibt sich als vermeintlich freundlich aus.

Die Sicherheitsforscher der Varonis Threat Labs warnen vor einer neuen Ransomware-Gruppe, die offensichtlich eine neue Erpressungs-Taktik anwendet: HardBit 2.0 versucht die Opfer davon zu überzeugen, dass es in ihrem Interesse ist, alle Versicherungsdaten offenzulegen, damit sie ihre Forderungen so anpassen können, dass der Versicherer alle Kosten übernimmt.

Anzeige

Hacker: Zusammen gegen die Versicherung

🔎 HardBit erfragt die Versicherungssumme bei den Opfern (Bild: Varonis).

HardBit wurde erstmals im Oktober 2022 beobachtet und tritt seit November unter der Version 2.0 auf. Im Gegensatz zu den meisten Ransomware-Akteuren verfügt HardBit nicht über eine Leak-Site. Gleichwohl behaupten die Cyberkriminellen, dass sie die Daten der Opfer stehlen und drohen mit ihrer Veröffentlichung, falls kein Lösegeld gezahlt wird. HardBit 2.0 verwendet ähnliche Techniken und Angriffstaktiken wie andere Ransomware-Gruppen, etwa die Verbreitung von bösartigen Payloads an arglose Mitarbeitende, die Verwendung kompromittierter Anmeldeinformationen und die Ausnutzung von Schwachstellen in exponierten Hosts. Was nun diese neue Gruppe von bekannten Banden unterscheidet, ist die Erpressungstaktik: In der Ransomware-Nachricht an die Opfer findet sich keine konkrete Lösegeldforderung, sondern die Aufforderung, anonym Details über die Versicherungspolice zu nennen:

Anfrage nach der Schadensumme

„Wenn Sie uns anonym mitteilen, dass Ihr Unternehmen für 10 Millionen Dollar versichert ist, und andere wichtige Angaben zum Versicherungsschutz machen, verlangen wir in der Korrespondenz mit dem Versicherungsagenten nicht mehr als 10 Millionen Dollar. Auf diese Weise könnten Sie einen Leak vermeiden und Ihre Informationen entschlüsseln.“

Nicht die Cyberkriminellen, sondern die „hinterlistigen“ Versicherungen werden auf diese Weise als Gegner dargestellt. Entsprechend sei es auch im Interesse der Opfer, auf diese Weise mit den Erpressern zusammenzuarbeiten: „Aber da der hinterhältige Versicherungsvertreter absichtlich so verhandelt, dass er nicht für den Versicherungsanspruch zahlt, gewinnt in dieser Situation nur die Versicherungsgesellschaft.

Um all dies zu vermeiden und das Geld von der Versicherung zu bekommen, sollten Sie uns anonym über die Bedingungen des Versicherungsschutzes informieren. Die armen Multimillionäre unter den Versicherern werden nicht verhungern und durch die Zahlung des im Vertrag festgelegten Höchstbetrags nicht ärmer werden. […] Lassen Sie sie also dank unseres Zusammenwirkens die in Ihrem Versicherungsvertrag vorgeschriebenen Bedingungen erfüllen.“

Datenweitergabe kann Versicherungsschutz beenden

In aller Regel sind die Versicherten vertraglich verpflichtet, den Angreifern keine Versicherungsdaten mitzuteilen, da sonst die Gefahr besteht, dass der Schaden nicht übernommen wird. Aus diesem Grund bestehen die Cyberkriminellen darauf, dass diese Daten anonym weitergegeben werden. Ihr Ziel ist und bleibt die Erpressung von Geld und betroffene Unternehmen sind gut beraten, ihnen nicht zu vertrauen.

Mehr bei Varonis.com

 


Über Varonis

Varonis verfolgt seit seiner Gründung 2005 einen anderen Ansatz als die meisten IT-Sicherheits-Anbieter, indem es die sowohl lokal als auch in der Cloud gespeicherten Unternehmensdaten ins Zentrum der Sicherheitsstrategie stellt: sensible Dateien und E-Mails, vertrauliche Kunden-, Patienten- und Mitarbeiterdaten, Finanzdaten, Strategie- und Produktpläne sowie sonstiges geistiges Eigentum. Die Varonis Datensicherheits-Plattform (DSP) erkennt Insider-Bedrohungen und Cyberangriffe durch die Analyse von Daten, Kontoaktivitäten, Telemetrie und Nutzerverhalten, verhindert oder begrenzt Datensicherheitsverstöße, indem sie sensible, regulierte und veraltete Daten sperrt und bewahrt einen sicheren Zustand der Systeme durch effiziente Automatisierung.,


 

Passende Artikel zum Thema

Report: Vertrauenswürdige Windows Anwendungen missbraucht

In seinem neuen Active Adversary Report 2024 belegt Sophos den Wolf im Schafspelz: Cyberkriminelle setzten vermehrt auf vertrauenswürdige Windows-Anwendungen für ➡ Weiterlesen

XDR: Schutz von Daten in Atlassian-Cloud-Applikationen

Mit einer neuen XDR-Erweiterung kann Bitdefender nun auch Daten in Atlassian-Cloud-Applikationen schützen. Somit ist das Überwachen, Erkennen und eine Reaktion auf ➡ Weiterlesen

Ausblick 2025: Lösungen für veränderte Angriffsflächen durch KI, IoT & Co

Die Angriffsfläche von Unternehmen wird sich im Jahr 2025 unweigerlich weiter vergrößern. Die datengetriebene Beschleunigung, einschließlich der zunehmenden Integration von ➡ Weiterlesen

Cloud Rewind für Wiederaufbau nach einer Cyberattacke

Eine neue Lösung für Cyber Recovery und zum Rebuild cloudzentrierter IT-Infrastrukturen. Commvault Cloud Rewind mit neuen Funktionen zum Auffinden von ➡ Weiterlesen

Medusa-Ransomware-Gruppe betreibt offenen Opfer-Blog im Web

Auch Cyberkriminelle pflegen neben der direkten Kommunikation mit dem Opfer ihre Außendarstellung. Denn Reputation ist ein wichtiger Erfolgsfaktor für Ransomware-as-a-Service-Unternehmen. Der ➡ Weiterlesen

Lokale Backups: Rückkehr zum sicheren Hafen

Warum Unternehmen lokale Backup-Strategien wiederentdecken: In den letzten Jahren haben sich Unternehmen zunehmend in die Abhängigkeit von Cloud-Lösungen manövriert - ➡ Weiterlesen

Ransomware Helldown nutzt Schwachstellen in Zyxel Firewalls aus

Wie das BSI meldet, gab es vermehrt Angriffe mit der Ransomware Helldown auf Unternehmensnetzwerke über eine Schwachstelle in Zyxel Firewalls. ➡ Weiterlesen

Gefährliche Lücken: Studie zu ICS und OT Cybersecurity

Das SANS Institute hat die Ergebnisse seiner Studie 2024 State of ICS/OT Cybersecurity veröffentlicht. Sie zeigt erhebliche Fortschritte bei der ➡ Weiterlesen