Cyberkriminelle werden immer beliebter aggressiver in ihren Bemühungen, die Störung zu maximieren und die Zahlung von Lösegeldforderungen zu erzwingen, und jetzt ist eine neue Erpressungstaktik im Spiel.
Anfang November versuchte die berüchtigte Ransomware-Bande ALPHV, auch bekannt als BlackCat, eine einzigartige Erpressungstaktik: Sie nutzte die neuen Regeln der US-Regierung zur Offenlegung von Datenschutzverletzungen als Waffe gegen eines der Opfer der Bande. ALPHV reichte eine Beschwerde bei der US-amerikanischen Börsenaufsichtsbehörde Securities and Exchange Commission (SEC) ein und behauptete, dass der digitale Kreditanbieter MeridianLink es versäumt habe, etwas offenzulegen, was die Bande als „erheblichen Verstoß gegen Kundendaten und Betriebsinformationen“ bezeichnete Die Bande nahm die Ehre in Anspruch.
„Wir möchten Sie auf ein besorgniserregendes Problem hinsichtlich der Einhaltung der kürzlich verabschiedeten Regeln zur Offenlegung von Cybersicherheitsvorfällen durch MeridianLink aufmerksam machen“, schrieb ALPHV. „Uns ist bekannt geworden, dass MeridianLink es versäumt hat, die erforderliche Offenlegung gemäß Punkt 1.05 des Formulars 8-K innerhalb der in den neuen SEC-Regeln vorgeschriebenen vier Geschäftstage einzureichen.“
Die jüngste Erpressungsaktion von ALPHV ist das erste Beispiel dafür, was nach Inkrafttreten der Regeln in den kommenden Monaten erwartet wird. Dies ist zwar neuartig, aber nicht die einzige aggressive Taktik, die von Ransomware- und Erpresserbanden eingesetzt wird.
Hacker, die normalerweise für den Einsatz von Ransomware bekannt sind, sind zunehmend auf die Taktik der „doppelten Erpressung“ umgestiegen, bei der die Banden nicht nur die Daten eines Opfers verschlüsseln, sondern auch damit drohen, die gestohlenen Dateien zu veröffentlichen, sofern keine Lösegeldforderung gezahlt wird. Einige gehen noch weiter mit „verdreifachen Erpressungsangriffe, bei denen Hacker – wie der Name schon sagt – einen dreigleisigen Ansatz nutzen, um Geld von ihren Opfern zu erpressen, indem sie Drohungen und Lösegeldforderungen auf Kunden, Lieferanten und Mitarbeiter des ursprünglichen Opfers ausweiten. Diese Taktiken wurden von den Hackern hinter den weitreichenden MOVEit-Massenhacks eingesetzt, die als Schlüsselereignis im Trend zu Erpressungsversuchen ohne Verschlüsselung gelten.
Auch wenn mehrdeutige Definitionen nicht das größte Cybersicherheitsproblem zu sein scheinen, mit dem Unternehmen heute konfrontiert sind, ist die Unterscheidung zwischen Ransomware und Erpressung wichtig, nicht zuletzt, weil die Abwehr dieser beiden Arten von Cyberangriffen sehr unterschiedlich sein kann. Die Unterscheidung hilft politischen Entscheidungsträgern auch dabei, zu erkennen, in welche Richtung Ransomware im Trend liegt und ob Richtlinien zur Bekämpfung von Ransomware funktionieren.
Was ist der Unterschied zwischen Ransomware und Erpressung?
Die Ransomware-Task Force beschreibt Ransomware als „eine sich weiterentwickelnde Form der Cyberkriminalität, bei der Kriminelle aus der Ferne Computersysteme kompromittieren und ein Lösegeld als Gegenleistung für die Wiederherstellung und/oder Nichtoffenlegung von Daten verlangen.“
Tatsächlich können Ransomware-Angriffe unterschiedlichste Auswirkungen haben. Die Ransomware-Experten Allan Liska, Threat-Intelligence-Analyst bei Recorded Future, und Brett Callow, Threat-Analyst bei Emsisoft, teilten in einer Analyse mit Tech mit, dass diese weit gefasste Definition von Ransomware sowohl für „betrügerische“ Ransomware gelten kann „Angriffe im Wert von 50 US-Dollar“ bis hin zu disruptiven „lebensbedrohlichen, auf Verschlüsselung basierenden Angriffen auf Krankenhäuser“.
„Offensichtlich handelt es sich jedoch um sehr unterschiedliche Tiere“, sagten Liska und Callow. „Der eine ist ein opportunistischer Verandapirat, der Ihre Amazon-Lieferung stiehlt, während der andere ein Team gewalttätiger Krimineller ist, die in Ihr Haus einbrechen und Ihre Familie terrorisieren, bevor sie sich mit all Ihren Besitztümern davonmachen.“
Den Forschern zufolge gibt es Ähnlichkeiten zwischen „Verschlüsselungs- und Erpressungs“-Angriffen und „Nur-Erpressungs-Angriffen“, wie beispielsweise deren Abhängigkeit von Maklern, die Zugang zu gehackten Netzwerken verkaufen. Es gibt jedoch auch wichtige Unterschiede zwischen den beiden, insbesondere im Hinblick auf die Kunden, Lieferanten und Kunden eines Opfers, deren eigene sensible Daten bei reinen Erpressungsangriffen erfasst werden können.
„Wir erleben, dass sich dies wiederholt abspielt, wenn ein Bedrohungsakteur gestohlene Daten durchsucht, um die größte oder bekannteste Organisation zu finden, die er finden kann, und behauptet, diese Organisation erfolgreich angegriffen zu haben. Das ist keine neue Taktik“, sagten Liska und Callow und führten ein Beispiel dafür an, wie eine Ransomware-Bande erklärte, sie habe einen großen Technologieriesen gehackt, obwohl sie in Wirklichkeit Daten von einem seiner weniger bekannten Technologieanbieter gestohlen hatte.
„Es ist eine Sache, einen Angreifer daran zu hindern, die Dateien in Ihrem Netzwerk zu verschlüsseln, aber wie schützen Sie Ihre gesamte Datenlieferkette?“ sagten Liska und Callow. „Tatsächlich denken viele Unternehmen nicht über ihre Datenlieferkette nach … aber jeder Punkt in dieser Lieferkette ist anfällig für Datendiebstahl und Erpressungsangriffe.“
Es bedarf einer besseren Definition von Ransomware
Während die Behörden gehackten Organisationen seit langem davon abhalten, Lösegeldforderungen zu zahlen, ist es für von Hackern angegriffene Unternehmen nicht immer eine leichte Entscheidung.
Bei Encrypt-and-Extort-Angriffen haben Unternehmen die Möglichkeit, die Lösegeldforderung zu bezahlen, um einen Schlüssel zu erhalten, der ihre Dateien entschlüsselt. Aber wenn man Hacker bezahlt, die aggressive Erpressungstaktiken anwenden, um ihre gestohlenen Dateien zu löschen, gibt es keine Garantie dafür, dass die Hacker dies tatsächlich tun.
Dies wurde beim jüngsten Ransomware-Angriff auf Caesars Entertainment deutlich, der die Hacker auszahlte, um die Offenlegung gestohlener Daten zu verhindern. Caesars teilte den Aufsichtsbehörden nach eigenen Angaben mit: „Wir haben Maßnahmen ergriffen, um sicherzustellen, dass die gestohlenen Daten von dem nicht autorisierten Akteur gelöscht werden, obwohl wir dieses Ergebnis nicht garantieren können.“
„Tatsächlich sollte man davon ausgehen, dass dies nicht der Fall sein wird“, sagen Liska und Callow und beziehen sich auf Behauptungen, Hacker würden gestohlene Daten löschen.
„Eine bessere Definition von Ransomware, die die Unterscheidung zwischen den verschiedenen Arten von Angriffen berücksichtigt, wird es Unternehmen ermöglichen, jede Art von Ransomware-Angriff besser zu planen und darauf zu reagieren, unabhängig davon, ob er innerhalb ihres eigenen Netzwerks oder im Netzwerk eines Dritten stattfindet. “, sagen Liska und Callow.