Was machen Cyberkriminelle mit den Millionen Lösegeld?

Was machen Cyberkriminelle mit den Millionen Lösegeld?

Beitrag teilen

Ransomware spült den Cyberverbrechern ein Vermögen auf die Kryptowährungskonten. Doch wo landet die ganze Kohle? Ein Leben in Saus und Braus? Recherchen von Sophos zeigen, dass viel Geld in weitere Angriffe investiert wird. Wer zahlt, finanziert also auch den nächsten Angriff auf sich selbst.

Wohin gehen eigentlich die Millionen Bitcoins & Co., die die Opfer von Ransomware-Angriffen ihren Erpressern in der Annahme bezahlen, dass sie so wieder in den Besitz ihrer konfiszierten Daten kommen? Zumindest einmal gab es eine Ahnung: Bei einer Festnahme von Verdächtigen in der Ukraine, die in Verbindung mit der Ransomware-Gruppierung „Clop“ stehen, gab es eine beeindruckende Sammlung von Autoschlüsselanhängern, die als Beweismittel eingesammelt wurden, und zahlreiche Luxusautos, die auf Abschleppfahrzeuge verladen und beschlagnahmt wurden.

Anzeige

Reinvestitionen für weitere Attacken

Aber, wie in jedem guten Unternehmen, investieren Cyberkriminelle den Gewinn zu gewissen Anteilen auch wieder in den „Betrieb“ zurück. Und auch der Ausbau des Cybercrime-Geschäfts im Allgemeinen ist ein beliebtes Geschäftsmodell für den Einsatz der verdienten Dollar. So ist es nicht verwunderlich, dass die REvil-Gruppierung im letzten Jahr Bitcoins im Wert von einer Million US-Dollar an ein Cybercrime-Forum als Vorauszahlung für erbrachte Leistungen übergab. Allerdings diente diese Aktion eher dazu, den Mitgliedern des Forums zu beweisen, dass das angebotene Geld mehr als nur ein Versprechen war: Es war bereits verpflichtend investiert, um für erfolgreiche „Bewerber“ ausgegeben zu werden.

RAT, LPE, RCE – Cybercrime-Fachjargon unter der Lupe

Das Angebot auf diesem Markt der Cyberverbrechen klingt kryptisch und reicht von dateiloser Software für Windows 10 mit bis zu 150.000 US-Dollar für die Originallösung über Zero-Day Exploits inklusive RCE mit einem Budget von mehreren Millionen US-Dollar bis zu Angeboten wie „Ich kaufe die meisten sauberen RATs.“ Die Liste der Fachbegriffe auf den Cybercrime-Foren ist lang, die wichtigsten werden im Folgenden kurz beschrieben:

RAT = Remote Access Trojan

Auch bekannt als Bots oder Zombies. RATs öffnen unautorisierte Zugangslücken, die den Betrügern die Kontrollübernahme über den PC ermöglichen. Einige RATs bieten explizite Fernzugriffsbefehle, die Keylogging einschalten, Screenshots erstellen, Audio- und Videoaufnahmen machen oder vertrauliche Dateien kopieren.

Aber nahezu alle RATS verfügen auch über Funktionen, die die RATs selbst automatisch aktualisieren, herunterladen oder zusätzliche bzw. willkürliche Malware installieren oder den Original-RAT sofort schließen und sämtliche Beweise beseitigen können. Die enorme Fähigkeit eines RATs, sich in eine völlig andere Schadsoftware zu verwandeln, zeigt: die Risiken, die sich aus einem unentdeckten RAT ergeben, sind nahezu grenzenlos.

Dateilose Software „lebt“ in der Registry

Technisch gesehen ist Software, die in der Registry (bei Windows der Ort, an dem die Konfiguration für das Betriebssystem liegt) „lebt“, nicht wirklich dateilos, denn die Registry selbst liegt in einer Datei auf der Festplatte. Aber die meiste Software, die Windows automatisch beim Start anwirft, ist in der Registry gelistet, als Dateiname, der das Programm enthält, das ausgeführt werden soll. Wenn das Programm also schadhaft oder unerwünscht ist, kann ein regulärer Scan der Festplatte die Malware finden und entfernen. So der normale Gang. Einige Registry-Einträge können jedoch das eigentliche Skript oder Programm, das Windows ausführen soll, direkt in den Registrierungsdaten verschlüsselt enthalten. Bedrohungen, die so gespeichert werden, belegen keine eigene Datei auf der Festplatte und sind daher schwerer zu finden.

LPE = Local Privilege Escalation

Betrüger können bei einer LPE nicht in den Computer vordringen. Aber: sind sie bereits im System, können sie selbst eine LPE-Schwachstelle nutzen, um sich von einem normalen Nutzerkonto zu einem Konto mit mehr Rechten zu befördern. Hackers-Liebling ist der Domain Admin, nahezu gleichberechtigt mit dem SysAdmin.

RCE = Remote Code Execution

Macht genau das, was es sagt: Angreifer gelangen in den Computer und starten ein Programm ihrer Wahl ohne Username/Passwort-Login.

Zero-Day-Exploits

Schwachstellen, für die es noch keine Patches gibt

Zero-Click-Attack

Angriffe, bei denen keine Aktion des Nutzers nötig ist. Die Technik funktioniert sogar, wenn der Computer gesperrt oder niemand angemeldet ist, wie es auf Servern oft der Fall ist.

Die Gretchenfrage nach einer Ransomwareattacke: Zahlen oder nicht

Zahlen oder nicht Zahlen, das ist die Frage nach einer erfolgreichen Hackerattacke mit Ransomware. Auch wenn grundsätzlich kein Lösegeld gezahlt werden sollte, gibt es leider keine pauschale Antwort, da es schließlich die einzige Chance für das Opfer sein kann, eine geschäftliche Katastrophe abzuwenden. Wie der „Sophos State of Ransomware Report 2021“ allerdings deutlich macht, ist das Zahlen des Lösegelds bei Weitem kein Garant für die komplette Datenwiederherstellung. Nur 8% der Befragten, die das Lösegeld bezahlten, bekamen im Anschluss alle ihre Daten zurück. „Alle die sich schon einmal gesagt haben, dass es doch keinen großen Schaden für andere anrichten kann, eben das Lösegeld zu zahlen, um Zeit und Aufwand für die Wiederherstellung zu sparen, sollten es besser wissen“, so Paul Ducklin, Senior Technologist bei Sophos. „Das Geschäftemachen mit den Cyberkriminellen ist ein Spiel mit dem Feuer, und zugleich sollte sich jeder darüber im Klaren sein, dass das Erpressungsgeld nicht nur für privaten Luxus ausgegeben wird, sondern auch für immer neue Attacken und Technologien, wodurch das Wachstum des Cybercrime-Geschäfts im Ganzen getrieben wird.“

Mehr bei Sophos.com

 


Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.


 

Passende Artikel zum Thema

Report: Vertrauenswürdige Windows Anwendungen missbraucht

In seinem neuen Active Adversary Report 2024 belegt Sophos den Wolf im Schafspelz: Cyberkriminelle setzten vermehrt auf vertrauenswürdige Windows-Anwendungen für ➡ Weiterlesen

XDR: Schutz von Daten in Atlassian-Cloud-Applikationen

Mit einer neuen XDR-Erweiterung kann Bitdefender nun auch Daten in Atlassian-Cloud-Applikationen schützen. Somit ist das Überwachen, Erkennen und eine Reaktion auf ➡ Weiterlesen

Ausblick 2025: Lösungen für veränderte Angriffsflächen durch KI, IoT & Co

Die Angriffsfläche von Unternehmen wird sich im Jahr 2025 unweigerlich weiter vergrößern. Die datengetriebene Beschleunigung, einschließlich der zunehmenden Integration von ➡ Weiterlesen

Cloud Rewind für Wiederaufbau nach einer Cyberattacke

Eine neue Lösung für Cyber Recovery und zum Rebuild cloudzentrierter IT-Infrastrukturen. Commvault Cloud Rewind mit neuen Funktionen zum Auffinden von ➡ Weiterlesen

Medusa-Ransomware-Gruppe betreibt offenen Opfer-Blog im Web

Auch Cyberkriminelle pflegen neben der direkten Kommunikation mit dem Opfer ihre Außendarstellung. Denn Reputation ist ein wichtiger Erfolgsfaktor für Ransomware-as-a-Service-Unternehmen. Der ➡ Weiterlesen

Lokale Backups: Rückkehr zum sicheren Hafen

Warum Unternehmen lokale Backup-Strategien wiederentdecken: In den letzten Jahren haben sich Unternehmen zunehmend in die Abhängigkeit von Cloud-Lösungen manövriert - ➡ Weiterlesen

Ransomware Helldown nutzt Schwachstellen in Zyxel Firewalls aus

Wie das BSI meldet, gab es vermehrt Angriffe mit der Ransomware Helldown auf Unternehmensnetzwerke über eine Schwachstelle in Zyxel Firewalls. ➡ Weiterlesen

Gefährliche Lücken: Studie zu ICS und OT Cybersecurity

Das SANS Institute hat die Ergebnisse seiner Studie 2024 State of ICS/OT Cybersecurity veröffentlicht. Sie zeigt erhebliche Fortschritte bei der ➡ Weiterlesen