Von Angreifern verpatzte Ransomware-Attacken

Sophos News
Anzeige

Beitrag teilen

Skrupellos, organisiert, vernetzt: Ransomware ist längst kein Gelegenheitszeitvertreib gelangweilter Hacker:innen mehr, sondern ein kriminelles Geschäft mit hohen Um- und Einsätzen. Aber auch Cyberkriminelle sind am Ende nur Menschen, denen selbst perfekt geplante Ransomware-Angriffe mal missraten. Sophos nennt ein paar Pannen.

Eine typische Ransomware ist eine ausgefeilte, menschen-geführte Attacke, bei der die Eindringlinge oft mehrere Tage bis zu Wochen im Netzwerk verbleiben, bevor sie ihre Erpressungen starten. Während dieser Zeit bewegen sie sich durch das Netzwerk, stehlen Daten, installieren neue Tools, löschen Backups und noch vieles mehr.

Anzeige

Wenn Angreifer im Stress Fehler machen

Zu jedem Zeitpunkt könnte der Angriff dabei entdeckt und blockiert werden, und das stresst besonders die Cyberkriminellen, die via Tastatur die Attacke kontrollieren. Sie müssen Taktiken mitten im Einsatz ändern, oder für die geplante Malware-Einsätze einen zweiten Anlauf nehmen, wenn der erste scheitert. Dieser Druck kann zu Fehlern führen. Auch Cybergangster sind schlussendlich nur Menschen.

Das Sophos Rapid Response Team hat während seiner Analysen in der letzten Zeit mehrfach über verpatzte Ransomware-Attacken geschmunzelt. Hier die Top 5 der Ransomware-Pannen:


  • Die Avaddon-Gruppe, die von ihrem Opfer gebeten wurde, doch die eigenen Daten zu veröffentlichen – man könne einen Teil nicht wiederherstellen. Die Gruppe, zu dusselig zu verstehen, was ihr Opfer im Sinn hatte, machte die Ankündigung, Opferdaten zu veröffentlichen, wahr und das betroffene Unternehmen kam so wieder in den Besitz seiner Daten.
  • Die Maze-Angreifer:innen, die eine große Menge Daten von einem Unternehmen stahlen, nur um dann herauszufinden, dass diese unlesbar waren: bereits verschlüsselt von der DoppelPaymer Ransomware. Eine Woche vorher.
  • Die Conti-Spezialist:innen die ihre eigene, neu installierte Hintertür verschlüsselten. Sie hatten AnyDesk auf einem infizierten Rechner installiert, um sich Fernzugang zu sichern und rollten dann die Ransomware aus, die alles auf dem Gerät verschlüsselte. Natürlich auch AnyDesk.
  • Die Mount-Locker-Bande, die nicht verstehen konnte, warum ein Opfer sich weigerte zu zahlen, nachdem sie eine Stichprobe geleakt hatten. Warum auch? Die veröffentlichen Daten gehörten zu einer ganz anderen Firma.
  • Die Angreifer:innen, die die Konfigurations-Dateien für den FTP Server, den sie zur Datenexfiltration nutzten, zurückließen. Damit konnte sich das Opfer einloggen und die gestohlenen Daten sämtlich löschen.

„Die gegnerischen Pannen, die uns ins Auge fielen, sind ein Beweis dafür, wie überfüllt und kommerzialisiert die Ransomware-Landschaft mittlerweile ist“, sagt Peter Mackenzie, Manager des Sophos Rapid Response Teams. „Als Ergebnis dieses Trends findet man verschiedene Angreifer:innen, die das gleiche potenzielle Opfer anvisieren. Rechnet man den Druck der von Sicherheitssoftware und Incident Respondern ausgeht, dazu, ist es verständlich, dass die Attacken fehleranfällig werden.“

Mehr bei Sophos.com

 


Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.


 

Passende Artikel zum Thema

Cyberattacke auf Helmholtz Zentrum München

Bereits am 15. März war das Helmholtz Zentrum München erst einmal nicht mehr zu erreichen. Eine Cyberattacke hatte alles lahmgelegt. ➡ Weiterlesen

Security: BSI-Handbuch für Unternehmensleitung

Das BSI verteilt das neue international erscheinende Handbuch „Management von Cyber-Risiken“ für die Unternehmensleitung. Das mit der Internet Security Alliance ➡ Weiterlesen

Ransomware: Attacke auf Schweizer Medienverlag und NZZ

Die Neue Züricher Zeitung - NZZ meldete vor ein paar Tagen eine Attacke auf ihr Netzwerk und konnte daher nicht ➡ Weiterlesen

Chinesische Cyberangreifer zielen auf Zero-Day-Schwachstellen

Gefundene Zero-Day-Schwachstellen werden oft von einzelnen APT-Gruppen ausgenutzt. Laut Mandiant greifen chinesische Cyberangreifer immer mehr Zero-Day-Schwachstellen an. Der Bericht belegt ➡ Weiterlesen

Verwundbarkeit durch Cloud Bursting

Als Technik zur Anwendungsbereitstellung ermöglicht Cloud Bursting die Vereinigung des Besten aus beiden Welten. Auf der einen Seite ermöglicht es ➡ Weiterlesen

Chrome dichtet 7 hochgefährliche Lücken ab

Das Bug-Bounty-Programm von Chrome lohnt sich: Programmierer und Spezialisten haben 7 hochgefährliche Sicherheitslücken an Google gemeldet und eine Belohnung erhalten. ➡ Weiterlesen

Outlook-Angriff funktioniert ohne einen Klick!

Selbst das BSI warnt vor der Schwachstelle CVE-2023-23397 in Outlook, da diese sogar ohne einen einzigen Klick eines Anwenders ausnutzbar ➡ Weiterlesen

USB-Wurm wandert über drei Kontinente

Die längst verstaubt geglaubte Masche eines USB-Sticks mit Schadsoftware wurde tatsächlich noch einmal aus der Cybercrime-Kiste geholt. Der bekannte Wurm ➡ Weiterlesen