Bereits Anfang März 2024 hat sich die gefährliche Hacker-Gruppe Lockbit zurückgemeldet

[datensicherheit.de, 08.04.2024] Als im Februar 2024 die Meldung über die erfolgreiche Zerschlagung der „Lockbit“-Ransomware-Gruppe um die Welt ging, wurde dies als ein entscheidender Schlag internationaler Ermittlungsbehörden gegen die Cyber-Kriminalität gewürdigt. Doch gerade einmal eine Woche später, Anfang März 2024, hat sich laut einer aktuellen Meldung der PSW GROUP diese gefährliche Hacker-Gruppe auch schon wieder zurückgemeldet: In einer Stellungnahme habe diese gar eigene Fehler zugegeben und erklärt, weiterhin aktiv zu sein.

Foto: PSW GROUP

Patrycja Schrenk rät, weiterhin in die Verteidigung digitaler Infrastrukturen zu investieren, Cyber-Sicherheitsmaßnahmen zu verbessern und Fähigkeit zur Erkennung sowie Reaktion auf Bedrohungen ständig weiterentwickeln!

Dass die Lockbit-Gruppe so schnell wieder aktiv wurde, ist äußerst beunruhigend

„In der Welt der Cyber-Kriminalität ist nichts sicher, und oft verschieben sich Gruppen oder tauchen unter neuen Namen und Taktiken wieder auf. Die Zerschlagung der ,Lockbit’-Gruppe war zweifellos ein wichtiger Meilenstein im Kampf gegen Ransomware und die digitale Kriminalität. Allerdings ist es äußerst beunruhigend zu sehen, dass die ,Lockbit’-Gruppe so schnell wieder aktiv geworden ist“, kommentiert Patrycja Schrenk, Geschäftsführerin der PSW GROUP.

Das schnelle „Comeback“ dieser Gruppe verdeutliche die Anpassungsfähigkeit und Entschlossenheit dieser kriminellen Organisation, ihre Aktivitäten fortzusetzen und weiterhin Schaden anzurichten. „Lockbit“ bleibe weiterhin eine große Bedrohung für Unternehmen und Organisationen weltweit.

Lockbit hatte lange Zeit das Image des unangefochtenen Königs der Ransomware

Tatsächlich habe „Lockbit“ lange Zeit als unangefochtener „König der Ransomware“ gegolten: Fast ein Fünftel der weltweiten Ransomware-Angriffe gingen laut Schrenk wohl auf das Konto dieser Hacker-Gruppe. Dabei solle sie mehrere Millionen Dollar von Tausenden Unternehmen sowie Einzelpersonen weltweit erbeutet haben – allein in den USA würden der Gruppe Angriffe auf mehr als 1.700 Organisationen vorgeworfen. „Lockbit“ habe es dabei auf einige der größten Namen der Weltwirtschaft abgesehen: Unternehmen wie Boeing, der Chiphersteller TSMC, das Raumfahrtunternehmen SpaceX, die ICBC, Chinas größte Bank, sowie der deutsche Automobilzulieferer Continental zählten zu ihren prominentesten Opfern.

„Was ,Lockbit’ besonders gefährlich macht, ist ihr ausgeklügeltes Geschäftsmodell, das einem Affiliate-Programm gleicht. Denn anstatt selbst die Angriffe durchzuführen, agiert ,Lockbit’ größtenteils als Dienstleister im Cybercrime-Umfeld.“ Die Gruppe stelle ihre Schadsoftware anderen Kriminellen zur Verfügung, welche dann die Angriffe ausführten, mit den Opfern verhandelten und Lösegeld erpressten. Für diese Dienstleistung kassiere „Lockbit“ eine Art Lizenzgebühr – „mit einem derart großen Erfolg, dass die Schadsoftware der Gruppe im Jahr 2022 sogar als weltweit am häufigsten eingesetzte Ransomware-Variante bezeichnet wurde“, so Schrenk.

Trotz Beschlagnahmung von Servern konnten Behörden nicht alle Lockbit-Domains übernehmen

Diese erfolgreiche Cybercrime-Gruppe sei den Strafverfolgungsbehörden Anfang des Jahres 2024 ins Netz gegangen, weil diese offenbar ausgerechnet eine nicht gepatchte Schwachstelle in der Skriptsprache „PHP“ hätten ausnutzen können – normalerweise seien ungepatchte IT-Sicherheitslücken das Geschäftsmodell von „Lockbit“. Doch trotz der Beschlagnahmung von 34 Servern und Festnahmen im Rahmen der „Operation Cronos“ hätten die Behörden nicht alle Domains von „Lockbit“ übernehmen können:

Die Gruppe habe sich mit ihrer Website unter neuer Adresse und einer Mischung aus Selbstkritik und Arroganz zurückgemeldet. In einer Stellungnahme Anfang März 2024 hätten sie zugegeben, dass ihre eigenen Systeme nicht auf dem neuesten Stand gewesen seien, weil sie „faul“ geworden seien und sich in einer gewissen Selbstzufriedenheit eingerichtet hätten: „Persönliche Fahrlässigkeit und Verantwortungslosigkeit“ habe es den Behörden erlaubt, die Website der Gruppe zu kapern. Weiter behaupte die Gruppe, dass ihre Server wiederhergestellt und sie bereit sei, erneut zuzuschlagen. Ihre Affiliates habe sie bereits aufgefordert, staatliche Einrichtungen häufiger ins Visier zu nehmen.

Zerschlagung einer Ransomware-Gruppe wie Lockbit löst grundsätzliches Problem nicht

„Diese Aussagen lassen aufhorchen und warnen auch vor einer möglichen Eskalation der Cyber-Angriffe. Gleichzeitig macht die Reaktion der Gruppe klar, dass der Kampf gegen Cyber-Kriminalität eine kontinuierliche und koordinierte Anstrengung erfordert – sowohl seitens der Strafverfolgungsbehörden als auch von Unternehmen und jedem Einzelnem.“

Die Zerschlagung dieser Cyber-Kriminellen sei ein wichtiger Schritt, „aber wir dürfen nicht den Fehler machen, dies als das Ende des Problems anzusehen“, warnt Schrenk. Man müsse weiterhin in die Verteidigung unserer digitalen Infrastrukturen investieren, unsere Cyber-Sicherheitsmaßnahmen verbessern und unsere Fähigkeit zur Erkennung und Reaktion auf Bedrohungen ständig weiterentwickeln, um mit der sich ständig verändernden Landschaft der Cyber-Kriminalität Schritt zu halten.

Weitere Informationen zum Thema:

PSW GROUP, Marek Röhner, 05.03.2024
Bedrohungslage / Die Lockbit-Ransomware-Gruppe: Zerschlagen! Oder doch nicht?

datensicherheit.de, 26.02.2024]
LockBit-Disruption: Strafverfolgungsbehörden nutzten Trend Micros Expertise / Neueste, noch unveröffentlichte LockBit-Version wurde von Trend Micro analysiert und vereitelt

datensicherheit.de, 22.02.2024
LockBit-Zerschlagung: Strafverfolgungsbehörden senden klare Botschaft an andere Malware-Betreiber / Ransomware-Gruppierung LockBit hatte auch Krankenhäuser bzw. Kritische Infrastrukturen attackiert

datensicherheit.de, 22.02.2024
LockBit versuchte durch Innovation die Oberhand zu behalten / Reihe von logistischen, technischen und rufschädigenden Problemen forderte LockBit-Ransomware-Gruppierung heraus

[datensicherheit.de, 26.02.2024] Nach eigenen Angaben hat Trend Micro globale Strafverfolgungspartner unter der Führung der britischen National Crime Agency (NCA) bei der Zerschlagung der Ransomware-Gruppe „LockBit“ unterstützt. „Langfristige Pläne der Gruppe konnten so verhindert werden.“ Demnach haben verdeckte Ermittlungen von Trend Micro die Veröffentlichung der neuesten Malware-Produktlinie der Gruppe vereitelt – „noch bevor die Akteure selbst ihre Tests abschließen konnten“. Kunden von Trend Micro seien automatisch geschützt.

LockBit-Verbündete nun erhöhtem Risiko der Strafverfolgung ausgesetzt

Ransomware stellt offensichtlich für Unternehmen eine der schwerwiegendsten Bedrohungen im Digitalen Raum dar: „Angriffe zielen auf alle Branchen und gefährden unter anderem Schulen, Krankenhäuser, Regierungen, Unternehmen sowie wichtige nationale Infrastrukturen.“ Lukrativ seien diese Angriffe auch für einige kleinere Cybercrime-Gruppen: „Im vergangenen Jahr zahlten Opfer über eine Milliarde US-Dollar an die Akteure und ihre Partner – ein Rekordwert. Dabei war ,LockBit’ für etwa 25 Prozent aller Ransomware-Leaks im Jahr 2023 verantwortlich und verursachte in den letzten vier Jahren bei Tausenden von Opfern Verluste in Milliardenhöhe.“

Hinter den Kulissen sei es bereits zu der Beschlagnahmung von „Krypto-Währungen“, Verhaftungen, Anklagen, der Verhängung von Sanktionen sowie der eingehenden technischen Unterstützung der Opfer gekommen. Die gemeinsam durchgeführte Operation habe darüber hinaus die Übernahme der „LockBit“-Leak-Seite, die Offenlegung persönlicher Identitäten und Informationen zu Gruppenmitgliedern sowie Details über ihre früheren kriminellen Aktivitäten umfasst. Mithilfe dieser Maßnahmen werde diese Gruppe in der Cybercrime-Community diskreditiert und damit als Untergrundunternehmen für Kriminelle unrentabel.

Auch wenn „LockBit“ zweifellos die größte und einflussreichste Ransomware-Operation weltweit gewesen sei, mache die nun erfolgte „Disruption“ deutlich, dass kriminelle Partner jede zukünftige Zusammenarbeit mit dieser Gruppe überdenken sollten – und dass sie sich durch Kooperationen einem erhöhten Risiko der Strafverfolgung aussetzten.

Verbrechergruppe LockBit wohl kaum komplett unschädlich, aber deutlich geschwächt

Die Maßnahmen der Operation gegen „LockBit“ führten laut Trend Micro zu folgenden Ergebnissen:

• Die Neutralisierung eines potenziell weit verbreiteten Ransomware-Stammes sowie die Verhinderung zukünftiger Angriffe.
• „Eine Strafverfolgungsoperation, die hoffentlich das Ende von ,LockBit’ bedeutet und die einen neuen Maßstab für die internationale Zusammenarbeit zwischen Strafverfolgungsbehörden und privaten Partnern setzt.“
• Die Eliminierung der Bedrohung durch eine neue Ransomware-Generation Dank der Analyse von Trend Micro.

„Wir bei Trend Micro sind stolz, dass wir mit unserer Bedrohungsforschung zu den Ermittlungen der globalen Strafverfolgungsbehörden beitragen konnten und Teil einer gemeinsamen Mission sind, um die Welt sicherer zu machen“, kommentiert Robert McArdle, Director „Forward Looking Threat Research Team“ bei Trend Micro, welcher sich demnach im regelmäßigen Austausch mit dem Federal Bureau of Investigation (FBI) und der National Crime Agency (NCA) befindet.

McArdles Fazit: „Letzte Woche hat Trend Micro weltweit Microsoft-Nutzer vor einer kritischen Schwachstelle geschützt; diese Woche konnten wir dabei unterstützen, die weltweit wichtigste Gruppe an Bedrohungsakteuren ihrer Führungsposition zu berauben. Nun sind Insider nicht so naiv anzunehmen, dass die Verbrechergruppe damit ausgelöscht sein wird. Einer Sache sind wir uns jedoch sicher: Kein vernünftiger Krimineller möchte noch einmal mit dieser Gruppe in Verbindung gebracht werden.“

Weitere Informationen zum Thema:

datensicherheit.de, 22.02.2024
LockBit versuchte durch Innovation die Oberhand zu behalten / Reihe von logistischen, technischen und rufschädigenden Problemen forderte LockBit-Ransomware-Gruppierung heraus

datensicherheit.de, 22.02.2024
LockBit-Zerschlagung: Strafverfolgungsbehörden senden klare Botschaft an andere Malware-Betreiber / Ransomware-Gruppierung LockBit hatte auch Krankenhäuser bzw. Kritische Infrastrukturen attackiert

datensicherheit.de, 21.02.2024
LockBit zerschlagen – Phönix aus der Asche als Ransomware-Bedrohungsszenario / Richard Cassidy kommentiert Ransomware-Gruppen im Zyklus von Zerschlagung und Auferstehung

NCA, 20.02.2024
National Crime Agency
International investigation disrupts the world’s most harmful cyber crime group

TREND MICRO, 15.02.2024
Millionen User betroffen: Trend Micro entdeckt aktiv ausgenutzte Microsoft-Schwachstelle / Trend Micros Zero Day Initiative entdeckt Bug, der es Angreifern ermöglicht, kritische Schutzmaßnahmen zu umgehen

Ransomware-Gruppierung LockBit hatte auch Krankenhäuser bzw. Kritische Infrastrukturen attackiert

[datensicherheit.de, 22.02.2024] Zur Zerschlagung der „LockBit“-Ransomware-Gruppierung betont Christian Have, „CTO“ bei Logpoint, in seiner Stellungnahme, dass diese Bedrohungsakteure im Gegensatz zu vielen anderen Cyber-Kriminellen sogar Angriffe auf Krankenhäuser bzw. Kritische Infrastrukturen (KRITIS) gerichtet hatten. Mit der nun erfolgten Verhaftung laufenden Ermittlungen senden die Strafverfolgungsbehörden demnach eine klare Botschaft an andere Malware-Betreiber – nämlich dass Cyber-Kriminalität erhebliche Konsequenzen nach sich ziehe.

Foto: Logpoint

Christian Have: Ausschaltung der beiden größten Ransomware-Banden – LockBit und BlackCat – hat das Potenzial, die Bedrohungslandschaft nachhaltig zu verändern…

Schlag gegen diese Ransomware-Gruppe LockBit bedeutender Fortschritt im Kampf gegen organisierte Cyber-Kriminalität

„Wie Anfang dieser Woche bekannt gegeben wurde, ist es den europäischen und amerikanischern Strafverfolgungsbehörden gelungen, zwei Mitglieder der berüchtigten ,LockBit’-Gruppierung festzunehmen“, berichtet Have. Dieser wichtige Schlag gegen diese Ransomware-Gruppe stelle einen bedeutenden Fortschritt im Kampf gegen organisierte Cyber-Kriminalität dar.

„LockBit“ sei einer der bekanntesten Bedrohungsakteure gewesen, welcher im Gegensatz zu vielen seiner Konkurrenten dreist selbst Krankenhäuser und andere KRITIS angegriffen habe. „Mit der Verhaftung von zwei Personen und den nun laufenden Ermittlungen gegen die Entwickler und Partner der Gruppe senden die Strafverfolgungsbehörden eine klare Botschaft an andere Malware-Betreiber“, so Have und er betont: „Cyber-Kriminalität zieht erhebliche Konsequenzen nach sich!“

Cybercrime-Gruppen zunehmend entlarvt: Vor LockBit wurde BlackCat aus dem Spiel genommen

Die aktuelle Festnahme sei nur eine von vielen in den letzten Monaten – sie verdeutliche die positive Entwicklung im Bereich der strafrechtlichen Verfolgung Cyber-Krimineller. Have führt aus: „Erst im Dezember beschlagnahmte das FBI gemeinsam mit internationalen Strafverfolgungsbehörden die Server und die Leak-Site von ,BlackCat’. Letzte Woche fing das FBI die ,Mooboot’-Malware ab, die von ,Fancy Bear’ auf ,Ubiquiti’-Routern eingesetzt wurde. Die Firewall der Router wurde neu konfiguriert, damit die Angreifer keinen erneuten Zugriff erhielten.“ Die Einbeziehung des FBI in die Bemühungen, „LockBit“ auszuschalten, zeige, wie proaktiv das FBI und andere Strafverfolgungsbehörden gegen Cyber-Bedrohungen vorgingen.

Have unterstreicht abschließend: „Die Ausschaltung der beiden größten Ransomware-Banden – ,LockBit’ und ,BlackCat’ – hat das Potenzial, die Bedrohungslandschaft nachhaltig zu verändern, indem sie die Fragmentierung und Dezentralisierung von Cybercrime-Gruppen weiter vorantreibt.“ Dies verdeutliche die Notwendigkeit für Sicherheitsteams, sich von traditionellen Methoden zur Erkennung von Sicherheitsverstößen auf der Grundlage bekannter Kompromissindikatoren (Indicators Of Compromise / IOC) zu lösen. Ein Ansatz, der sich auf die Erkennung von Taktiken, Techniken und Verfahren (TTPs) konzentriere, sei nachhaltiger, da er die dynamischen Methoden der Bedrohungsakteure und neu auftretende Bedrohungen mit einbeziehe.

Weitere Informationen zum Thema:

datensicherheit.de, 22.02.2024
LockBit versuchte durch Innovation die Oberhand zu behalten / Reihe von logistischen, technischen und rufschädigenden Problemen forderte LockBit-Ransomware-Gruppierung heraus

datensicherheit.de, 21.02.2024
LockBit zerschlagen – Phönix aus der Asche als Ransomware-Bedrohungsszenario / Richard Cassidy kommentiert Ransomware-Gruppen im Zyklus von Zerschlagung und Auferstehung

heise online, Dr. Christopher Kunz, 20.02.2024
Ransomware: Lockbit durch Ermittler zerschlagen – zwei Festnahmen / Operation Cronos: Je eine Verhaftung in Polen und der Ukraine…

[datensicherheit.de, 22.02.2024] Auch Trend Micro widmet einen aktuellen Kommentar der Zerschlagung der „LockBit“-Ransomware-Gruppierung: „Als kriminelle Gruppe war ,LockBit’ dafür bekannt, innovativ zu sein und neue Dinge auszuprobieren (auch wenn dies in letzter Zeit weniger der Fall war).“ So habe „LockBit“ im Laufe dieser innovativen Entwicklung mehrere Versionen seiner Ransomware veröffentlicht – von der Version „v1“ (Januar 2020) über „LockBit 2.0“ (Spitzname „Red“, ab Juni 2021) bis hin zu „LockBit 3.0“ („Black’, ab März 2022). Im Oktober 2021 habe der Bedrohungsakteur zudem „Linux“ eingeführt. Schließlich sei im Januar 2023 eine Zwischenversion „Green“ aufgetaucht – „die Code enthielt, der offenbar von der nicht mehr existierenden ,Conti’-Ransomware übernommen wurde“. Diese Version sei jedoch noch nicht eine neue Version „4.0“ gewesen.

Jüngste Herausforderungen und Niedergang der LockBit-Gruppierung

In letzter Zeit hatte die „LockBit“-Gruppe sowohl intern als auch extern mit Problemen zu kämpfen gehabt, „die ihre Position und ihren Ruf als einer der führenden RaaS-Anbieter gefährdeten“. Dazu zählten gefälschte Posts von Opfern sowie eine instabile Infrastruktur bei Ransomware-Operationen.

Fehlende Download-Dateien in angeblichen Veröffentlichungen und neue Regeln für Partner hätten die Beziehungen dieser Gruppe zudem weiter belastet. Auch die Versuche, Partner von konkurrierenden Gruppen anzuwerben sowie eine lange überfällige Veröffentlichung einer neuen „LockBit“-Version hätten auf den Attraktivitätsverlust der Gruppe hingedeutet.

LockBit 4.0 als mögliche Bedrohung am Horizont

„Kürzlich konnten wir ein Sample analysieren, das unserer Meinung nach eine in der Entwicklung befindliche Version einer plattformunabhängigen Malware von ,LockBit’ ist, die sich von früheren Versionen unterscheidet.“

Dieses füge verschlüsselten Dateien das Suffix „locked_for_LockBit“ hinzu, das Teil der Konfiguration sei und daher noch geändert werden könne. „Aufgrund des aktuellen Entwicklungsstandes nannten wir diese Variante ,LockBit-NG-Dev’, die unserer Meinung nach die Grundlage für ,LockBit 4.0‘ bilden könnte, an dem die Gruppe mit Sicherheit arbeitet.“

Grundlegende LockBit-Neuerungen laut Trend Micro:

• „LockBit-NG-Dev“ sei in „.NET“ geschrieben und mit „CoreRT“ kompiliert worden. „Wenn der Code zusammen mit der ,.NET’-Umgebung eingesetzt wird, ist er dadurch plattformunabhängig.“
• Die Codebasis sei durch die Umstellung auf diese Sprache völlig neu – „was bedeutet, dass wahrscheinlich neue Sicherheits-Patterns erstellt werden müssen, um sie zu erkennen“.
• „Im Vergleich zu ,v2‘ (,Red’) und ,v3‘ (,Black’) verfügt er zwar über weniger Funktionen, doch werden diese im Zuge der weiteren Entwicklung wahrscheinlich noch hinzugefügt.“ So wie es aussieht, handelt es sich laut Trend Micro „immer noch um eine funktionale und leistungsstarke Ransomware“.
• Die Fähigkeit zur Selbstverbreitung und zum Ausdrucken von Erpresserbriefen über die Drucker des Benutzers sei entfernt worden.
• Die Ausführung habe nun eine Gültigkeitsdauer, „indem sie das aktuelle Datum prüft, was den Betreibern wahrscheinlich dabei helfen soll, die Kontrolle über die Nutzung durch Affiliates zu behalten und es automatisierten Analysesystemen von Sicherheitsunternehmen schwerer zu machen“.
• Ähnlich wie „v3“ („Black“) verfüge diese Version immer noch über eine Konfiguration, „die Flags für Routinen, eine Liste der zu beendenden Prozesse und Dienstnamen sowie zu vermeidende Dateien und Verzeichnisse enthält“.
• Außerdem könnten die Dateinamen verschlüsselter Dateien nach wie vor in einen Zufallsnamen umbenannt werden.

Zukunft wird zeigen, ob Abgesang oder Warnung vor LockBit-Neustart geboten ist

Die cyber-kriminelle Gruppe hinter der „LockBit“-Ransomware habe sich in der Vergangenheit als erfolgreich erwiesen und während ihrer gesamten Tätigkeit stets zu den Ransomware-Gruppen mit den größten Auswirkungen gehört. „In den letzten Jahren scheinen sie jedoch eine Reihe von logistischen, technischen und rufschädigenden Problemen gehabt zu haben.“ Damit sei „LockBit“ gezwungen gewesen, Maßnahmen zu ergreifen und an einer neuen, mit Spannung erwarteten Version ihrer Malware zu arbeiten.

Angesichts der offensichtlichen Verzögerung bei der Markteinführung einer robusten Version und der anhaltenden technischen Probleme bleibe jedoch abzuwarten, „wie lange die Gruppe noch in der Lage sein wird, Top-Affiliates anzuziehen und ihre Position zu halten“. In der Zwischenzeit hofft Trend Micro, „dass ,LockBit’ die nächste große Gruppe ist, die die Vorstellung widerlegt, dass eine Organisation zu groß zum Scheitern ist“.

Weitere Informationen zum Thema:

TREND MICRO, Trend Micro Research, 22.02.2024
Ransomware / LockBit Attempts to Stay Afloat With a New Version

FRANKFURTER ALLGEMEINE ZEITUNG, Maximilian Sachse, 21.02.204
Gefürchtete Erpresserbande : Was die Zerschlagung von Lockbit für die Hackerwelt bedeutet

datensicherheit.de, 22.02.2024
LockBit-Zerschlagung: Strafverfolgungsbehörden senden klare Botschaft an andere Malware-Betreiber / Ransomware-Gruppierung LockBit hatte auch Krankenhäuser bzw. Kritische Infrastrukturen attackiert

datensicherheit.de, 21.02.2024
LockBit zerschlagen – Phönix aus der Asche als Ransomware-Bedrohungsszenario / Richard Cassidy kommentiert Ransomware-Gruppen im Zyklus von Zerschlagung und Auferstehung

Richard Cassidy kommentiert Ransomware-Gruppen im Zyklus von Zerschlagung und Auferstehung

[datensicherheit.de, 21.02.2024] Strafverfolgungsbehörden bekämpfen Ransomware-Gruppierungen auf einem „Schlachtfeld“, auf dem sich Zerschlagung und Auferstehung cyber-krimineller Vereinigungen abscheinend zyklisch wiederholen. In der Vergangenheit konnten schon viele Gruppen erfolgreich bekämpft werden – welche dann aber kurz darauf unter anderem Namen mit angepassten Techniken ihre Aktivitäten wieder aufnehmen konnten. Anlässlich der Zerschlagung der „LockBit“-Gruppe erinnert Richard Cassidy, „Field CISO“ bei Rubrik, in seinem Kommentar daran, dass jede Zerschlagung eine willkommene Nachricht sei – „aber der Zyklus endet nicht, solange die grundlegenden Probleme nicht gelöst werden“. Zu diesen zählen demnach: Die finanziellen Anreize für Ransomware-Gruppierungen, die relative Anonymität von Transaktionen mit „Krypto-Währungen“ sowie die unzähligen regelmäßig bekannt werdenden, jedoch nicht behobenen Schwachstellen. Insbesondere die Gruppierung „LockBit“ dürfte laut Cassidys Einschätzung der Strafverfolgung finanziell überlegen sein: Dadurch sei diese Gruppe bestens mit dem Geld ausgestattet, um sich neu aufzustellen und notfalls unter anderem Namen weiterzumachen.

Richard Cassidy: Der Zyklus von Zerschlagung und Wiederauftreten bei Ransomware-Gruppierungen wird auf unabsehbare Zeit weitergehen…

Der Kampf gegen Ransomware-Gruppierungen ist noch lange nicht gewonnen

Cassidy betont: „Zweifellos ist die Nachricht, dass die Aktivitäten von ,LockBit’ zerschlagen wurden, eine willkommene Entwicklung auf dem Schlachtfeld der Ransomware. Aber der Kampf ist noch lange nicht gewonnen. Auch wenn die Operationen von ,LockBit’ für einen unbestimmten Zeitraum beeinträchtigt sind, sollten wir die Anpassungsfähigkeit der Gruppe nicht unterschätzen.“

Diese cyber-kriminellen Gruppierungen hätten stets eine bemerkenswerte Fähigkeit bewiesen, sich an die Maßnahmen der Strafverfolgung anzupassen, ihre Taktiken weiterzuentwickeln und ihre Operationen fortzusetzen – manchmal unter einem neuen Namen.

Die Vergangenheit zeigte, wie widerstandsfähig Ransomware-Gruppen sind

Cassidy berichtet: „Wir konnten in der Vergangenheit sehen, wie widerstandsfähig Ransomware-Gruppen sind, die von den Strafverfolgungsbehörden zerschlagen wurden. Darunter waren zum Beispiel ,Hive’, ,ALPHV/BlackCat’ und der Wandel von ,DarkSide’ zu ,BlackMatter’, die zeigen, dass die Gruppierungen von Cyber-Kriminellen in der Lage sind, sich zu erholen, sich umzubenennen sowie in neue oder bestehende Netzwerke zu integrieren und dabei die Unterstützung durch das Ransomware-as-a-Service-Ökosystem zu nutzen.“

Man müsse sich fragen, ob die finanziellen Ressourcen von Gruppen wie „LockBit“ nicht umfangreicher sind als jener, mit ihrer Zerschlagung beauftragten Strafverfolgungsbehörden. „LockBit“ sei durch den Erfolg ihrer Aktivitäten finanziell extrem gut aufgestellt und habe unter anderem allein von US-Organisationen rund 91 Millionen US-Dollar eingetrieben. Dadurch hätten sie die wirtschaftliche Macht, sich neu zu gruppieren und neue Taktiken, Techniken und Verfahren zu entwickeln, um aus den Fehlern, die zu ihrer Zerschlagung geführt haben, zu lernen und sich anzupassen sowie ihren Ansatz – falls notwendig – neu zu erfinden.

Zyklische Zerschlagung und erneutes Aufleben der Ransomware-Gruppen verweist auf großes Problem

„Die zyklischen Zerschlagungen durch die Strafverfolgung und das erneute Aufleben dieser Ransomware-Gruppen zeigen das große Problem im ,Ökosystem’ der Cyber-Kriminalität auf“, so Cassidy. Das grundlegende Problem seien die Triebkräfte hinter Ransomware-Angriffen.

Dazu zählten die finanziellen Anreize, die relative Anonymität von Transaktionen mit „Krypto-Währungen“ und die regelmäßig bekannt werdenden, aber nicht behobenen Schwachstellen. Cassidy prognostiziert abschließend: „Bis diese Probleme gelöst wurden, können wir davon ausgehen, dass der Zyklus von Zerschlagung und Wiederauftreten auf unabsehbare Zeit weitergehen wird.“

Weitere Informationen zum Thema:

Deutschlandfunk, 21.02.2024
Internationale Aktion / Hackernetzwerk LockBit zerschlagen / Internationale Ermittler haben das weltweit agierende Hacker-Netzwerk LockBit zerschlagen

Cybersecurity and Infrastructure Security Agency, 14.06.2023
UNDERSTANDING RANSOMWARE THREAT ACTORS: LockBit

datensicherheit.de, 22.02.2024
LockBit-Zerschlagung: Strafverfolgungsbehörden senden klare Botschaft an andere Malware-Betreiber / Ransomware-Gruppierung LockBit hatte auch Krankenhäuser bzw. Kritische Infrastrukturen attackiert

datensicherheit.de, 22.02.2024
LockBit versuchte durch Innovation die Oberhand zu behalten / Reihe von logistischen, technischen und rufschädigenden Problemen forderte LockBit-Ransomware-Gruppierung heraus

datensicherheit.de, 23.01.2024]
Lockbit-Gruppe: Ransomware-Angriff per RaaS auf Subway / Richard Werner kommentiert Medienberichte zu jüngster Ransomware-Attacke einer der gefährlichsten RaaS-Akteure

datensicherheit.de, 11.11.2022
LockBit 3.0: BlackBerry kom mentiert Cyber-Angriff auf Continental / Cyber-Angriff auf den Dax-Konzern nur ein Beispiel der Aktivitäten rund um die RaaS-Gruppe LockBit

datensicherheit.de, 28.06.2022]
LockBit 3.0: Cyber-Kriminelle starten erstes Ransomware-Bug-Bounty-Programm / Tenable kommentiert Anpassungen Cyber-Krimineller an wachsenden Verfolgungsdruck

Ende Januar 2024 wurden in einem Untergrund-Webforum vorgebliche Daten von rund 50 Millionen Europcar-Kunden angeboten

[datensicherheit.de, 06.02.2024] Ende Januar 2024 sollen in einem Untergrund-Webforum angebliche Daten von rund 50 Millionen Europcar-Kunden angeboten worden sein. Udo Schneider, „Security Evangelist Europe“ bei Trend Micro, führt in seinem Kommentar hierzu aus: „Europcar reagierte schnell und bestritt, dass es sich um eine echte Datei handele. Weder seien die Daten in sich konsistent, noch seien insbesondere die E-Mail-Adressen bei Europcar überhaupt bekannt.“ Während Europcar die Vermutung geäußert habe, dass diese Daten mittels generativer KI (z.B. „ChatGPT“) erzeugt worden seien, seien andere Sicherheitsforscher indes der Meinung, dass hier keine KI am Werk gewesen sei. „Allen gemeinsam ist jedoch die Meinung, dass diese Daten maschinell generiert wurden“, berichtet Schneider. Auch im Webforum sei dann schnell der Verdacht aufgekommen, dass die zum Kauf angebotenen Daten nicht authentisch seien – „was schließlich dazu führte, dass der Verkäufer im Forum gesperrt wurde“.

Foto: Trend Micro

Udo Schneider: Ist das Unternehmen in der Lage (zeitnah) zu prüfen, ob die Daten echt sind oder nicht?

Daten-Raub als Geschäftsmodell Organisierter Cyber-Kriminalität

„So interessant die Geschichte auf den ersten Blick auch sein mag, ein Blick ,hinter die Geschichte’ offenbart weitere interessante Aspekte“, erläutert Schneider: Ein Narrativ im Ransomware-Umfeld der letzten Jahre sei die vermeintliche „Ehre“ der Cyber-Kriminellen: Wenn man für die Entschlüsselung zahlt, gebiete es diese „Ehre“ dieser Kriminellen, auch den Schlüssel herauszugeben – nur sei „Ehre“ hierbei wirklich nicht das richtige Wort.

Schneider betont: „Die Herausgabe des Schlüssels gegen Lösegeld hat nichts mit Ehre zu tun. Das ist schlicht und einfach der Geschäftstrieb von Kriminellen: Würde es sich herumsprechen, dass trotz Zahlung kein Schlüssel herausgegeben wurde, wäre das geschäftsschädigend, also reiner Eigennutz und keine ,Ehre’.“

Angeblicher Daten-Diebstahl zeigt: Cyber-Kriminelle betrügen sich doch auch gegenseitig

Auch die Meinung, dass Kriminelle sich untereinander nicht betrügen würden, sei eher einem verklärten Robin-Hood-Narrativ geschuldet als den Tatsachen: Denn im besagten Fall habe ein Krimineller versucht, andere Kriminelle zu betrügen. Man könne nur hoffen, dass es noch keine Käufer gab. „Und nur weil den Käufern der Weg über die offizielle Justiz versperrt ist, heißt das noch lange nicht, dass keine Konsequenzen zu befürchten sind.“

In der Vergangenheit hätten ähnliche Aktionen zu sehr unrühmlichen Ergebnissen geführt. Das „Doxing“ („die virtuelle Entlarvung des Betrügers durch Hacken des E-Mail-Accounts, Veröffentlichung der echten Adresse, Persoscans, Veröffentlichung von Referenzpersonen usw.“) sei dabei nur der Anfang. „,Doxing’-Informationen sind das, was man in den Foren sieht. Was ein möglicherweise betrogener Krimineller mit diesen Informationen in der realen Welt anstellt, sieht man nicht … vielleicht zum Glück.“

Unternehmen sollten unbedingt ihre eigenen Daten kennen

Der vielleicht interessantere Aspekt aus Sicht der Verteidigung sei aber die Reaktion von Europcar: „Europcar machte schnell und sehr deutlich klar, dass die Daten nicht echt waren.“ Dieser Vorfall zeige aber auch, dass Kriminelle sehr wohl gefälschte Daten produzierten – sei es, um diese zu verkaufen (wie in diesem Fall) oder auch, um potenzielle Opfer damit zu erpressen. Schneider kommentiert: „Und genau hier wird es spannend. Stellen Sie sich vor, ein Unternehmen erhält (z.B. nach einem Ransomware-Vorfall) eine weitere Erpressungsnachricht à la ,Wir haben Ihre Daten! Anbei ein Beispiel. Wenn Sie nicht wollen, dass diese veröffentlicht werden …‘.“

Laut Schneider stellt sich dann die entscheidende Frage: „Ist das Unternehmen in der Lage (zeitnah) zu prüfen, ob die Daten echt sind oder nicht? Je länger der Entscheidungsprozess dauert, desto nervöser kann das Management werden.“ Diese Nervosität erhöht aber u.U. die Wahrscheinlichkeit, dass gezahlt wird – „nur so als Fail-safe-Lösung“.

Szenario, mit (angeblich) gestohlenen Daten erpresst zu werden, als Teil der Risikobetrachtung

Daraus ergäben sich zwei wichtige Schlussfolgerungen für die Verteidigerseite. Erstens müsse dieses Szenario, mit (angeblich) gestohlenen Daten erpresst zu werden, in die Risikobetrachtung einbezogen werden. Zweitens sollten dementsprechend auch risikomindernde Maßnahmen bzw. Verifikationsmaßnahmen (Prozesse, Zugriffsrechte, Personen) im Vorfeld definiert werden.

Ansonsten könne es sehr schnell passieren, dass z.B. das beauftragte „Incident Response Team“ die Daten nicht schnell genug verifizieren kann, „weil z.B. die Datenbanken technisch nicht zugänglich sind“. Ein weiterer Aspekt gerade bei personenbezogenen Daten sei sicherlich die DSGVO: „Wie kann man in so einem Fall personenbezogene Daten verifizieren, ohne gegen die DSGVO zu verstoßen?“ Beides seien Dinge, die man „im Vorfeld“ relativ einfach definieren könne: Im Falle eines Falles könne dann der entsprechende Prozess geordnet durchlaufen werden. „Ist der Prozess nicht definiert, bricht oft das große Chaos und die Panik aus – mit dem Effekt, dass die Aussage, ob die Daten mit denen erpresst wird, nicht zeitnah getroffen werden kann“, warnt Schneider. Dies wiederum erhöhe die Wahrscheinlichkeit, dass die Erpressungs-Opfer zahlten.

Tipps zur Vorbereitung auf echten bzw. vorgeblichen Daten-Raubzug:

1. Mentale Vorbereitung auf den Fall der Fälle
„Bereiten Sie sich darauf vor, mit (angeblich) gestohlenen Daten erpresst zu werden!“

2. Technisch-organisatorische Vorbereitung auf den Erpressungsfall
„Definieren Sie vorab Prozesse, mit denen ,Incident Responder’ im Falle eines Falles schnell (technisch) und rechtlich sauber auf Daten (lesend) zugreifen können, um die Authentizität eines Dumps zu verifizieren!“

Weitere Informationen zum Thema:

golem.de, Marc Stöckel, 31.01.2024
Daten womöglich von ChatGPT / Cyberangriff auf Europcar entpuppt sich als Fälschung

heise online, Dirk Knop, 31.01.2024
Europcar: Das Datenleck, das keines war / In einem Untergrundforum bietet jemand rund 50 Millionen Datensätze angeblich von Europcar an. Sie sind offenbar gefälscht.

Richard Werner kommentiert Medienberichte zu jüngster Ransomware-Attacke einer der gefährlichsten RaaS-Akteure

[datensicherheit.de, 23.01.2024] Laut aktuellen Medienberichten soll „Lockbit“ – eine RaaS-Gruppe („Ransomware as a Service“) – wieder zugeschlagen haben: Das neueste Opfer ist demnach die Frenchise-Kette Subway. Daten seien gestohlen worden und mit denen werde das Unternehmen nun erpresst. „Überraschend ist das nicht“, kommentiert Richard Werner, „Business Consultant“ bei Trend Micro. „Lockbit“ gehöre zu den gefährlichsten aktuelle aktiven RaaS-Gruppen. Ihre Opfer seien primär in den USA und Europa zu finden – diese bestünden zu etwa 70 Prozent aus kleinen und mittelständischen Unternehmen (unter 500 Mitarbeiter). Pro Halbjahr seien zwischen 500 und 800 einzelne Opfer identifizierbar. „Dabei ist allerdings zu bemerken, dass wir nur die Opfer kennen, die sich zunächst weigern zu zahlen“, so Werner und erläutert ein paar Hintergründe zur Methode:

Foto: Trend Micro

Richard Werner rät prinzipiell zur Minimierung persönlicher Daten

Ransomware-Angriff – Methode der Doppelten Erpressung

Ein Ransomware-Angriff läuft laut Werner im Endeffekt so ab: „Die Täter breiten sich innerhalb des Opfer-Unternehmens aus und verschlüsseln alle im Zugriff befindlichen Systeme. Anschließend wird das Opfer mit der Verfügbarkeit der IT erpresst.“ Diese Methode wirke heutzutage nicht mehr annähernd so zuverlässig, wie noch vor vier oder fünf Jahren, denn die Opfer könnten heutzutage auf erfahrene Cyber-Verteidigungen zurückgreifen:

„Verschiedene Erkennungstechnologien sorgen dafür, dass die Täter, wenn überhaupt, nur noch Teilbereiche eines Unternehmens übernehmen können, bevor sie auffliegen. Backup-Systeme stellen auch diese wieder her.“

So sei dann das Argument der „Verschlüssler“ in vielen Fällen gar nicht mehr so groß, wie sie es gerne hätten. Hier nun komme die Komponente „Datendiebstahl“ ins Spiel: Das betroffene Unternehmen werde damit bedroht, diese Daten zu veröffentlichen. „Sind Kundendaten betroffen oder sogar Geschäftsgeheimnisse, ist ein Anreiz geschaffen, zu zahlen. Die Namen der so bedrohten Opfer sind diejenigen, die wir, wie oben beschrieben, identifizieren und damit statistisch erfassen können.“

Empfehlung an Ransomware-Opfer, kein Lösegeld zu zahlen

Gestohlene Daten könnten aber nicht zurückgekauft werden. „Anders als bei materiellen Gütern wechselt der Besitz der Güter nicht. Sie werden einfach nur kopiert.“ Dies bedeute, dass die gestohlenen Daten im Besitz der Täter verblieben.

„Zahlt man, um eine Veröffentlichung zu verhindern, beweist man damit lediglich, dass es sich hier um wertvolle, interessante Informationen handelt, nicht um irrelevanten Datenmüll.“

Für das Opfer sei es sinnvoller festzustellen, welche Daten entwendet wurden und die Eigentümer über den Verlust zu informieren. „Denn das muss ohnehin geschehen, will man nicht bis in alle Zukunft erpressbar bleiben oder sich den Klagen Geschädigter gegenübersehen.“

Große Menge gestohlener Daten für Normalmenschen ein Problem – Datensparsamkeit generell empfohlen

Weltweit scheine nur etwa ein Siebtel der Unternehmen (ca. 14%) aufgrund der sogenannten Zweifachen Erpressung zu zahlen. Dies müsse nicht einmal mit dieser Methode zusammenhängen, sondern könne auch bedeuten, „dass das Opfer eigentlich für die Entschlüsselung zahlt und deshalb die Erpressung mit den Daten zurückgenommen wird“.

Nur: „Die große Menge gestohlener Daten, über die – wie hier bei Subway auch – gesprochen wird, ist letztlich ein Verkaufsargument. Die Spekulation über mögliche Skandale oder wertvolle Inhalte soll vor allem Kaufinteressenten identifizieren.“ Denn damit werde das Geld gemacht, wenn das Opfer nicht zahlt. Die große Menge an gestohlenen Daten sei nun wiederum für uns Normalmenschen ein Problem. Denn an irgendeiner Stelle seien wir betroffen: „Eine geklaute Telefonnummer kann ein ,Enkeltrick’ werden. Auf die entwendete E-Mail-Adresse folgt ein Phishing-Angriff. An die physische Adresse werden Fake-Pakete gesendet und was mit Zahlungsinformationen passieren kann, muss niemandem erklärt werden.“

Werner unterstreicht abschließend: „All diese Daten kommen von solchen Diebstählen und je mehr davon passieren, desto genauer ist das Bild, welches über einzelne Personen gezeichnet werden kann.“ Eine Minimierung der persönlichen Daten wäre wünschenswert – außerdem, dass diese nicht ständig irgendwo eingesammelt und gespeichert werden, wenn man dann nicht in der Lage ist, sie sicher zu schützen. „Wenn es doch bloß sowas wie ein Gesetz dafür geben würde…“

Weitere Informationen zum Thema:

heise online, Dirk Knop, 22.01.2024
Datenklau: Lockbit erpresst Subway / Die Online-Bande Lockbit behauptet, bei der Fastfood-Kette Subway eingebrochen zu sein und sensible Daten kopiert zu haben

TREND MICRO, Trend Micro Research, 08.02.2022
LockBit

datensicherheit.de, 11.11.2022
LockBit 3.0: BlackBerry kommentiert Cyber-Angriff auf Continental / Cyber-Angriff auf den Dax-Konzern nur ein Beispiel der Aktivitäten rund um die RaaS-Gruppe LockBit

datensicherheit.de, 28.06.2022
LockBit 3.0: Cyber-Kriminelle starten erstes Ransomware-Bug-Bounty-Programm / Tenable kommentiert Anpassungen Cyber-Krimineller an wachsenden Verfolgungsdruck

datensicherheit.de, 14.08.2021
Accenture von LockBit-Ransomware-Angriff betroffen / LockBit-Ransomware seit September 2019 beobachtet

Stellungnahme zur Ransomware-Bedrohung – Dr. Martin J. Krämer kommentiert aktuellen Cyber Threat Intelligence Report der NCCGroup

[datensicherheit.de, 22.01.2024] Kürzlich wurde der „Cyber Threat Intelligence Report“ der NCCGroup veröffentlicht, welcher Ransomware-Angriffe bis November 2023 abdeckt – bereits in diesem November sei ein deutlicher Anstieg von Ransomware-Angriffen – im Vergleich zu vorangegangenen Zeiträumen – verzeichnet worden. „Diese neuen Daten deuten darauf hin, dass das Jahr 2024 turbulent werden könnte“, kommentiert Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in seiner aktuellen Stellungnahme und betont: „Es ist immer gut, wenn Berichte rasch veröffentlicht werden, damit die aktuelle Situation der Cyber-Angriffe eingeschätzt werden kann.“ Dafür sei es hilfreich, wenn Daten vor einem oder zwei Quartalen (oder sogar aus dem letzten Jahr) verglichen würden.

Foto: KnowBe4

Dr. Martin J. Krämer empfiehlt, dass das Jahr 2024 mit einer mehrschichtigen Verteidigung beginnen sollte!

Im November 2023 beobachtete Ransomware-Angriffe könnten alarmierender Trend sein

Was den vorliegenden Bericht so alarmierend mache, sei die Tatsache, „dass die im November beobachteten Angriffe aus vergleichenden Blickwinkeln einen erheblichen Anstieg der Zahl der Angriffe ergeben haben“:

• „Die Zahl der Angriffe von Januar bis November 2023 ist um etwa 85 Prozent höher als im gleichen Zeitraum des vorherigen Jahres.“
• „Die Zahl der Angriffe allein im November 2023 ist um 67 Prozent höher als im November 2022.“
• „Im November 2022 gab es 30 Prozent mehr Ransomware-Angriffe als im Oktober 2022“

Nordamerika mit 50 Prozent der Ransomware-Angriffe meistbetroffene Region

Die von der NCCGroup beobachteten Hauptakteure seien die Gruppen „Lockbit 3.0“, „BlackCat“ und „Play“ gewesen – die am stärksten betroffenen Branchen Industrie, Konsumgüter, Gesundheitswesen und Technologie. Dabei sei Nordamerika mit 50 Prozent der Angriffe die meistbetroffene Region, gefolgt von Europa mit 30 Prozent.

Dr. Krämer unterstreicht: „Da die Partner dieser Gruppen Phishing als einen der ersten Angriffsvektoren nutzen, ist es wichtig zu gewährleisten, dass das Jahr 2024 mit einer mehrschichtigen Verteidigung beginnt. Diese sollte den Schutz von E-Mails, des Netzwerks, der Endpunkte sowie Security-Awareness-Trainings umfassen.“

Ransomware-Gruppen attackieren nicht nur mit klassischen E-Mails, sondern agieren zunehmend kreativer…

Unternehmen sollten ihre Mitarbeiter jedoch nicht nur zum Thema Phishing schulen, sondern ganzheitlich, um alle Gebiete des sogenannten Social Engineerings abzudecken. Letztlich attackierten Ransomware-Gruppen nicht nur mit klassischen E-Mails, sondern agierten zunehmend kreativer, wie der Vorfall bei retool gezeigt habe.

Dort war ein IT-Mitarbeiter auf eine SMS hereingefallen und wurde bei der Multi-Faktor-Authentifizierung mit einer KI-gefälschten Stimme ausgetrickst. Deshalb sollten auch neue Möglichkeiten wie sogenannte Voice Fakes und Deepfakes zwingend Teil der Aufklärungskampagnen sein.

Weitere Informationen zum Thema:

nccgroup, November 2023
Cyber Threat Intelligence Report: Ransomware attacks in November rise 67% from 2022

PCMag, Michael Kan, 15.09.2023
Hacker Deepfakes Employee’s Voice in Phone Call to Breach IT Company

Ein Überblick vom Verständnis der neuesten Phishing-Trends bis hin zur Implementierung robuster Sicherheitsstrategien

[datensicherheit.de, 15.01.2024] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch den it’s.BB e.V., lädt zur nächsten „Awareness“-Veranstaltung ein: „Wie schütze ich mich effizient? Abwehrmechanismen gegen Phishing und Ransomware“ – dieses Web-Seminar zielt darauf ab, einen Überblick über aktuelle Strategien und Gegenmaßnahmen zu geben, um sich gegen die zunehmend raffinierteren Bedrohungen durch Phishing und Ransomware zu verteidigen.

Abbildung: it’s.BB

Web-Seminar am 24.01.2024 in Zusammenarbeit mit der IHK Berlin

Interessanter Einblick zur Stärkung der eigenen digitalen Abwehr

Vom Verständnis der neuesten Phishing-Trends bis hin zur Implementierung robuster Sicherheitsstrategien soll dieses Web-Seminar einen interessanten Einblick zur Stärkung der eigenen digitalen Abwehr bieten.

„Egal, ob Sie technisch Interessierter oder ein proaktiver Geschäftsführer sind, erhalten Sie interessante Informationen, um Ihren Cyber-Raum sicher und widerstandsfähig zu gestalten.“ Dieses Web-Seminar wird wieder in Zusammenarbeit mit der IHK Berlin organisiert.

Abwehrmechanismen gegen Phishing und Ransomware

Mittwoch, 24. Januar 2024
16.00 bis 17.00 Uhr, online via „zoom“
kostenlose Teilnahme – Anmeldung erforderlich

Agenda (ohne Gewähr):

• Begrüßung
• „Überblick Phishing und Endring-Strategien“
• „Anatomie von Ransomware“
• „Bedrohungen identifizieren, Risiken erkennen“
• „Technische Präventivmaßnahmen: Sicherheitswerkzeuge und -technologien“
• „Organisatorische Maßnahmen: Eine Kultur der Sicherheit schaffen“
• Fragen / Diskussion / Abschluss

Referenten: Uwe Stanislawski, CASKAN IT-Security GmbH & Co. KG, und Anna Borodenko, IHK Berlin.

Weitere Informationen zum Thema und Anmeldung:

eventbrite
Mittwoch, 24. Januar / Wie schütze ich mich effizient? / Abwehrmechanismen gegen Phishing und Ransomware

Opfer von Ransomware-Attacken werden noch zusätzlich unter Druck gesetzt

[datensicherheit.de, 06.12.2023] „Jüngste Ereignisse aus der Cybercrime-Welt zeigen, dass die Übeltäter nicht nur über technisches Know-how verfügen, sondern auch über ein grundlegendes Verständnis für die Regulierung von Cyber-Verbrechen. Sie wissen, an welche Unternehmen sie sich halten müssen und nutzen dieses Wissen auch, um noch raffiniertere Cyber-Angriffe zu starten“, so Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in seiner aktuellen Stellungnahme.

Foto: KnowBe4

Dr. Martin J. Krämer: Die SEC verlangt von Unternehmen die Offenlegung von Art, Umfang und Zeitpunkt eines Cyber-Angriffs sowie dessen mögliche Auswirkungen!

Zusätzlicher Druck auf Ransomware-Opfer: Lösegeldforderung mit 24-Stunden-Ultimatum

Seit dem 26. Juli 2023 schreibe die US-amerikanische Börsenaufsicht SEC vor, dass börsennotierte Unternehmen bedeutende Cyber-Vorfälle innerhalb von vier Tagen melden müssten. Dr. Krämer erläutert: „Diese Vorschrift der SEC verlangt von Unternehmen die Offenlegung von Art, Umfang und Zeitpunkt eines Cyber-Angriffs sowie dessen mögliche Auswirkungen.“

Und genau dies machten sich nun Cybercrime-Gruppierungen wie „BlackCat („ALPHV“) zunutze, wie sich in einem kürzlichen Angriff dieser Ransomware-Gruppe gezeigt habe. „Am 7. November behaupteten sie, sensible Daten entwendet zu haben, was gemäß den SEC-Vorschriften eine Meldung bis zum 11. November erforderlich machte. Um zusätzlichen Druck auf die Opfer auszuüben, gab es für die Lösegeldzahlung ein 24-Stunden-Ultimatum“, berichtet Dr. Krämer,

Ransomware-Gruppe BlackCat berüchtigt für ihre dreifache Erpressung

In Deutschland seien vor allem Betreiber Kritischer Infrastrukturen (Kritis) dazu angehalten, den Vorfall innerhalb einer Frist an das BSI zu melden. Zudem erfordere die DSGVO die Meldung des Verlustes von personenbezogenen Daten innerhalb von 72 Stunden. Die Behörden hätten dazu eine Vielzahl an Dokumenten und Handreichungen erstellt, damit sich betroffene Organisationen grundlegend informieren könnten, welche Informationen bis zu welchem Zeitpunkt übermittelt werden müssen.

Bereits bekannt sei die Gruppe „BlackCat“ vor allem für ihre dreifachen Erpressungsmethoden, welche von Verschlüsselungs- und DoS-Angriffen bis hin zu Datendiebstahl und der Androhung öffentlicher Bloßstellung reichten. Die neu erdachte Methode, im Namen ihrer Opfer Berichte bei der SEC einzureichen, zeige eine ganz neue Raffinesse in ihrem Repertoire der Erpressungstaktiken.

Ransomware-Gruppen werden weiterhin Bemühungen anstellen, um an das Geld ihrer Opfer zu kommen

Dr. Krämer unterstreicht abschließend: „Diese Information unterstreicht die dringende Notwendigkeit für Unternehmen, bei ihren Cyber-Sicherheitsmaßnahmen wachsam und proaktiv zu handeln, denn Ransomware-Gruppen werden weiterhin Bemühungen anstellen, um an das Geld ihrer Opfer zu kommen.“

Eine „Unze Prävention“ sei hierbei also mehr wert als ein „Pfund Heilung“. Daher sollten Unternehmen ihre Mitarbeiter entsprechend schulen und ihre Sicherheitsvorkehrungen verstärken.

Weitere Informationen zum Thema:

U.S. SECURITIES AND EXCHANGE COMMISSION, 26.07.2023
SEC Adopts Rules on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure by Public Companies