Der Ransomware-Angriff auf die Universität Manchester im Jahr 2023 endete nicht, als die Bedrohungsakteure die persönlich identifizierbaren Informationen (PII) von Fakultätsangehörigen und Mitarbeitern sowie 250 GB an anderen Daten erfolgreich exfiltriert hatten. Als die Universität zögerte, das Lösegeld zu zahlen, entschieden sich die Angreifer für eine Taktik, die bei Cyberkriminellen immer beliebter wird – die dreifache Erpressung.
Da die Hacker während des Angriffs Daten exfiltriert hatten, konnten sie Kontakt mit Studierenden aufnehmen, deren PII kompromittiert worden waren, und ihnen mit der Veröffentlichung der Daten im Darknet drohen, wenn die Universität das Lösegeld nicht zahlte. Diese Taktik der direkten Kontaktaufnahme mit Opfern setzt die betroffene Organisation weiter unter Druck und schadet ihrem Ruf.
In einem sich verändernden Ransomware-Umfeld, in dem die Strafverfolgungsbehörden ihre Anstrengungen intensivieren und Organisationen ihre Maßnahmen im Bereich Cybersecurity verschärfen, mussten Bedrohungsakteure kreativ werden, um dauerhaft Erfolg zu haben. Diese Kreativität zeigt sich zunehmend in der doppelten und dreifachen Erpressung.
Was ist doppelte Erpressung?
Doppelte Erpressung liegt vor, wenn Cyberkriminelle die Daten einer Organisation exfiltrieren, bevor sie diese verschlüsseln. Wenn eine Organisation dann zögert, das Lösegeld zu zahlen (da sie möglicherweise über ein vollständiges externes Backup zur Wiederherstellung der Systeme verfügt), droht der Angreifer mit der Veröffentlichung der gestohlenen Daten im Darknet oder ihrem Verkauf an andere. Dies kann zur Offenlegung von PII und dem geistigen Eigentum der Organisation führen.
In jüngster Zeit setzen Bedrohungsakteure doppelte Erpressung nicht nur ein, um Druck auf die betroffenen Organisationen auszuüben, sondern lassen der Drohung auch Taten folgen und veröffentlichen Daten auf selbst betriebenen Leak-Sites. Im Falle der Sicherheitsverletzung bei MCNA Dental beispielsweise veröffentlichte die verantwortliche Ransomware-Gruppe LockBit alle Daten auf ihrer Leak-Website, bevor MCNA Dental das Lösegeld zahlte. 2023 veröffentlichten Ransomware-Gruppen häufig gestohlene Daten auf Leak-Sites, vielleicht in dem Wissen, dass die Daten für Angriffe gegen andere Organisationen genutzt werden können, wenn die betreffende Organisation nicht zahlt.
Was ist dreifache Erpressung?
Dreifache Erpressung liegt vor, wenn die Bedrohungsakteure während des Angriffs einen weiteren Beweggrund für die Zahlung von Lösegeld liefern oder eine dritte Möglichkeit finden, Geld von den Opfern zu erpressen. Mögliche Taktiken sind die Kontaktaufnahme mit einzelnen Opfern, deren Daten kompromittiert wurden, wie im Fall der Universität Manchester, die Verschlüsselung weiterer Teile der Unternehmensumgebung oder die Androhung eines zweiten Angriffs, beispielsweise eines Distributed-Denial-of-Service-Angriffs (DDoS).
Die dreifache Erpressung verkompliziert den eigentlichen Angriff und übt gleichzeitig zusätzlichen Druck auf die Organisation aus, zu zahlen oder weitere Ausfallzeiten, Rufschädigungen und mögliche rechtliche Probleme oder andere Konsequenzen zu riskieren.
Bekannte Ransomware-Gruppen setzen diese Taktik allmählich immer öfter ein. So hat Arctic Wolf Labs beispielsweise mehrere Fälle untersucht, in denen Royal and Akira nach dem ursprünglichen Angriff Kontakt zu Opfern aufgenommen und eine zweite Zahlung verlangt haben. Im November 2023 kontaktierte AlphaV die SEC, um eines seiner Opfer zu melden, das nie Anzeige erstattet hatte.
Der Wert der Datenexfiltration bei Ransomware
Da sich Cybersecurity und Cyberkriminalität in einem Kampf befinden, in dem jede Seite nach neuen Möglichkeiten sucht, die andere auszustechen, mussten sich Ransomware-Gruppen und einzelne Hacker weiterentwickeln. Die Organisationen haben sich nämlich dafür entschieden, Lösegeldforderungen abzulehnen und Datensicherungen zur Wiederherstellung des Betriebs zu verwenden und so den Bedrohungsakteuren jeglichen Einfluss zu nehmen, den diese bei einem Angriff hätten. Backups ermöglichen eine Wiederaufnahme des Betriebs. Bei 71 % der Arctic Wolf® Incident Response-Einsätze 2023 im Zusammenhang mit Ransomware konnte das betroffene Unternehmen Backups in irgendeiner Form nutzen, um seine Umgebung wiederherzustellen.
Hier ist die Datenexfiltration für die Bedrohungsakteure zu einem Trumpf geworden. Während der Verschlüsselung, solange sie noch Zugang haben, beginnen diese Hacker, wertvolle Informationen zu exfiltrieren. Sie drohen dann damit, diese wertvollen Daten im Darknet zu veröffentlichen – oder veröffentlichen sie einfach dort.
Die Veröffentlichung von exfiltrierten Daten bietet Bedrohungsakteuren mehrere Vorteile und zwingt Organisationen damit, jetzt oder in Zukunft Lösegeld zu zahlen:
- Sie schädigt den Ruf einer Organisation.
- Sie kann zu behördlichen Untersuchungen und Geldstrafen führen, insbesondere wenn persönlich identifizierbare Informationen (PII) veröffentlicht werden.
- Die Organisationen können unter Druck gesetzt werden, für die Löschung der Daten zu bezahlen.
- Andere Bedrohungsakteure können die Daten, insbesondere Anmeldedaten, für weitere Angriffe auf die Organisation oder andere Organisationen nutzen.
- Es entsteht eine unangenehme Situation, da die Opfer wissen, dass das Unternehmen ihre Daten nicht geschützt hat.
Die Bedrohungslandschaft ändert sich zwar ständig, doch die doppelte Erpressung scheint zu einem festen Bestandteil von Ransomware-Angriffen zu werden. Erst kürzlich haben zwei Ransomware-Gruppen – GhostSec und Stormous – gemeinsam ein neues Ransomware-as-a-Service (RaaS)-Modell gestartet, das Datenexfiltration beinhaltet. Damit führen die beiden Gruppen Angriffe in verschiedenen Branchen und Ländern durch. Andere Ransomware-Gruppen haben begonnen, eigene Leak-Sites einzurichten. Die Leak-Site von LockBit beispielsweise, einer Ransomware-Gruppe, die für ihre doppelte Erpressung berüchtigt ist, wurde im Februar aus dem Internet entfernt, die Gruppe konnte jedoch innerhalb von weniger als einer Woche eine neue Leak-Site starten.
Auch wenn sich dieser Angriffsvektor weiterentwickelt, heißt das nicht, dass die Organisationen einfach nur abwarten müssen, bis sie auf der Angriffsliste einer Gruppe stehen.
So schützen Sie sich vor Erpressung bei Ransomware-Angriffen
Ransomware wird in nächster Zeit nicht verschwinden. 2023 bezogen sich 48,6 % der Arctic Wolf Incident Response-Einsätze auf Ransomware. Das Lösegeld, das im Durchschnitt dabei gezahlt wurde, stieg im selben Jahr um 20 % auf 600.000 USD. Angesichts dieser Statistiken ist die Verteidigung gegen solche Angriffe ein entscheidendes Ziel für jede Organisation. Es gibt verschiedenste Möglichkeiten für die Organisationen, ihr Sicherheitsniveau zu erhöhen und Maßnahmen zur Abwehr von Ransomware-Bedrohungen zu ergreifen.
1. Datensicherungen. Zwar kann es immer noch zu einer Exfiltration kommen, doch Datensicherungen helfen Ihrer Organisation nicht nur bei der Wiederaufnahme des Betriebs im Falle eines Angriffs, sondern verschaffen Ihrem Incident Response (IR)-Team auch Klarheit über die vorhandenen Daten, ihren Wert und die Auswirkungen eines möglichen Datenlecks. Dies wird bei Lösegeldverhandlungen und anderen Incident-Response-Maßnahmen hilfreich sein. Organisationen sollten sich darüber im Klaren sein, für welche Backups sie in einer hybriden oder reinen Cloud-Umgebung selbst zuständig sind, und daran denken, ihre Backups regelmäßig zu testen.
2. Rund-um-die-Uhr-Überwachung Ihrer Umgebung. Echtzeitinformationen können den Unterschied zwischen einem versuchten Erstzugriff und einem Datenleck im Darknet ausmachen. Durch eine Rund-um-die-Uhr-Überwachung werden Sicherheitsteams auf verdächtiges Verhalten, z. B. den privilegierten Zugriff auf bestimmte Daten, aufmerksam gemacht. Mit einer Lösung wie Managed Detection and Response (MDR) können externe Partner reagieren und die Bedrohung ausschalten, bevor es zu einem Verstoß kommt. Zudem beinhalten viele Lösungen für die Rund-um-die-Uhr-Überwachung wie Arctic Wolf® Managed Detection and Response Möglichkeiten zur Erkennung und Reaktion auf Identitätsbedrohungen (Identity Threat Detection and Response, ITDR). Dies kann entscheidend sein, um einen privilegierten Zugriff während eines Angriffs zu verhindern.
3. Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM). Ob Anwendung von Zero-Trust-Prinzipien, Nutzung einer Multi-Faktor-Authentifizierung (MFA) oder Best Practices für Privileged Access Management (PAM) – der Schutz von Benutzeridentitäten kann viel bewirken, wenn es darum geht, den Erstzugriff und seitliche Bewegungen während eines Angriffs zu verhindern. 2023 waren bei 24,4 % der Vorfälle Benutzeraktionen die Ursache. In Fällen von externem Remote-Zugriff (die 39 % der Vorfälle im Jahr 2023 ausmachten) nutzten die Bedrohungsakteure gültige Anmeldedaten. Dies macht deutlich, wie wichtig Identitätssicherheit ist.
4. Schaffung eines Vulnerability-Management-Programms. Die meisten Ransomware-Angriffe im letzten Jahr wurde laut Arctic Wolf Labs über einen externen Remote-Zugriff oder einen externen Exploit gestartet. Durch die Einführung eines konsequenten Vulnerability-Management-Programms, das einer regelmäßigen Behebung von Schwachstellen Vorrang einräumt, stärken Organisationen ihre Verteidigung und verhindern den Erstzugriff durch Ransomware-Gruppen. Ein weiterer Grund, warum Patching so wichtig ist? Bei Nicht-BEC-Vorfällen wurde 2023 in 25,6 % der Angriffe ein bekannte Schwachstelle ausgenutzt. Ein Viertel der Angriffe hätte also durch angemessenes Vulnerability Management verhindert werden können.
Erfahren Sie mehr über die Entwicklungen auf dem Gebiet der Ransomware im Arctic Wolf Labs Threats Report 2024.
Entdecken Sie, wie Arctic Wolf MDR verhindert, dass aus einer Ransomware-Bedrohung ein Datenschutzverstoß wird.
Erfahren Sie, wie eine MDR-Lösung Ihre Sicherheitsumgebung transformieren kann.
