Ransomware-Trends: Mehrfach-Erpressungen

Double, Triple und Quadruple Extortion nach Ransomware-Angriffen

[datensicherheit.de, 26.08.2021] Einige Security-Anbieter sorgten derzeit für Schlagzeilen, da sie die Ransomware-Infektionen als „Double“, „Triple“ und „Quadruple Extortion“ bezeichneten. „Die Begriffe weichen inhaltlich davon ab, wie die unterschiedlichen Vorgehensweisen der Erpresser bewertet werden“, erläutert Jelle Wieringa, „Security Awareness Advocate“ bei KnowBe4. Letztlich scheine es aber so zu sein, „dass Cyber-Kriminellen nicht mehr nur die Daten per Ransomware verschlüsseln, stehlen und mit Veröffentlichung drohen“, sondern auch noch per „Denial of Service“ (DoS) den Opfern drohten, sollten sie den Lösegeldforderungen nicht nachkommen. Darüber hinaus würden auch noch im Falle von „Supply Chain“-Attacken die weiteren Betroffenen Lieferanten, Partner, Kunden und Mitarbeiter von den Kriminellen informiert, um eine weitere Drohkulisse aufzubauen. Zuletzt würden die Informationen noch an die Medien gespielt, so dass über eine Berichterstattung der Fall publik werde.

Foto: KnowBe4

Jelle Wieringa: Neue Ransomware-Varianten im Umlauf…

Massiver Rückgang durchschnittliche Lösegeldzahlungen nach Ransomwaare-Infektionen

Wieringa kommentiert: „Dies alles zeigt, dass Erpresser zunehmend professioneller vorgehen und der ,Business Case Ransomware‘ so lukrativ ist, dass ganze Strategien ringsherum erarbeitet und die nötigen Personen beschäftigt werden, die den ,Business Case‘ dann umsetzen.“
Die Ransomware-Welt könnte aus Sicht der Cyber-Kriminellen also nicht rosiger sein, doch es gebe auch Moll-Töne, und der aktuelle Report von Coveware deute den Grund dafür an: „In dem Report wurde ein massiver Rückgang der durchschnittlichen Lösegeldzahlungen festgestellt – etwas mehr als 136.000 US-Dollar, ein Rückgang um 38 Prozent gegenüber dem ersten Quartal dieses Jahres.“

Anzahl der Ransomware-Angriffe gestiegen

Dennoch sei der Prozentsatz der Ransomware-Angriffe gestiegen, bei denen die Gefahr bestehe, dass exfiltrierte Daten durchsickerten – „in diesem Quartal um fünf auf 81 Prozent“. Die Summe des erpressten Geldes werde also geringer, die Anzahl der Angriffe steige jedoch – und das rasant. Jedoch immer weniger Opfer wollten das Lösegeld zahlen: „Der IT-Hersteller Kaseya will kein Geld gezahlt haben und die Kreisverwaltung Anhalt-Bitterfeld weigert sich beharrlich und hat sogar die Bundeswehr eingeschaltet“, berichtet Wieringa.
Neben der Verweigerung einer Lösegeldzahlung, die auch die oben beschriebenen neuen Methoden der zwei-, drei- und vierfachen Erpressung rechtfertigen würde, könnte es aber auch andere Faktoren geben. Der Report von Coveware gebe an, dass es neue Ransomware-Varianten gebe, die andere verdrängt hätten. Das könne Insidern zufolge mit neuen Gruppen zusammenhängen, die weniger Lösegeld forderten als etablierte Gruppen.

Unternehmen jeder Größe werden nach wie vor Opfer von Ransomware

Nachdem zum Jahreswechsel die „Emotet“-Erpresser von den Strafverfolgungsbehörden festgesetzt wurden, scheine nun die Ransomware-Gruppe „REvil“ durch politisch-polizeilichen Druck verschwunden zu sein. Auch wenn es Spekulationen über den Verbleib der Betreiber gebe, „die von Urlaub über Gefängnis bis zu neuerlichen Aktivitäten unter dem Deckmantel einer neuen Ransomware reichen“, nehme die Strafverfolgung im Netz Fahrt auf. Ein weiterer Grund – „und hier schwingt viel Hoffnung mit“ – sei, dass Unternehmensleiter weltweit erkannt hätten, dass sie ihre Maßnahmen für mehr IT-Sicherheit und Informationssicherheit erhöhen müssten.
„Was auch immer der Grund für die gesunkenen Lösegeldzahlungen ist, die Coveware-Analyse zeigt, dass Unternehmen jeder Größe nach wie vor angegriffen werden und Opfer von Ransomware werden können“, unterstreicht Wieringa. Unternehmen sollten daher Maßnahmen ergreifen, um sich vor den drei primären Angriffsvektoren zu schützen. Häufigste Ansatzpunkte sollten Schwachstellen in Netzwerk und Software, Fernzugriff über RDP und Schutz gegen Phishing sein. „Dafür müssen Unternehmen ihre Mitarbeiter mit einem ,New School Security Awareness Training‘ schulen, damit diese nicht auf bösartige E-Mail-Inhalte hereinfallen“, empfiehlt Wieringa abschließend.

Weitere Informationen zum Thema:

COVEWARE, 23.07.2021
Q2 Ransom Payment Amounts Decline as Ransomware becomes a National Security Priority

datensicherheit.de, 26.08.2021
Ransomware Groups to Watch: Emerging Threats / Aktuelle Analyse von Palo Alto Networks zu Ransomware-Gruppen

datensicherheit.de, 24.08.2021
Sophos: Ransomware-Report 2021 mit Fakten, Auswirkungen und Trends / Unternehmen, öffentliche Einrichtungen und andere Organisationen weiterhin fest im Griff der Ransomware

datensicherheit.de, 14.08.2021
Accenture von LockBit-Ransomware-Angriff betroffen / LockBit-Ransomware seit September 2019 beobachtet

datensicherheit.de, 10.08.2021
Für Varonis steht Ransomware exemplarisch für Bedrohung der Datensicherheit / Varonis positioniert sich beim Schutz der Daten vor Ransomware, Exfiltration und anderen Attacken