Triple-Extortion-Angriffe: Warum Cyber-Attacken mit kombinierten Angriffsverfahren so gefährlich sind
Unternehmen sehen sich mit einer neuen Gefahr im Bereich IT-Sicherheit konfrontiert. Kriminelle setzen bei Angriffen parallel drei Methoden ein.
Unternehmen sehen sich mit einer neuen Gefahr im Bereich IT-Sicherheit konfrontiert. Kriminelle setzen bei Angriffen parallel drei Methoden ein. Neben einer Erpressersoftware (Ransomware) sind dies Distributed-Denial-of-Service-Angriffe und der Diebstahl von Geschäftsdaten. Doch die Chancen sind gut, solche Triple-Extortion-Attacken abzuwehren.
Das Geschäft von Cyberkriminellen läuft bestens. Nach Schätzungen der amerikanischen Marktforschungsfirma Cyber Ventures wird der Schaden durch Cyberattacken bis 2025 jährlich um 15 Prozent steigen, auf weltweit mehr als 10 Billionen Dollar. Ein wachsender Teil dieser Summe entfällt auf Lösegeldzahlungen. Damit wollen betroffene Unternehmen beispielsweise erreichen, dass Angreifer Daten wieder freigeben, die sie mit einer Ransomware verschlüsselt haben oder einen Distributed-Denial-of-Service-Angriff (DDoS) stoppen.
Daher ist es nicht verwunderlich, dass die Cybercrime-Szene nach weiteren Möglichkeiten sucht, um den „Umsatz“ zu steigern. Ein Trend ist, die Wirksamkeit von Attacken zu erhöhen, indem bei ihnen drei Technologien gebündelt werden, Stichwort „Triple Extortion“.
Was Triple Extortion eigentlich ist
Wie der Name bereits andeutet, kommen bei Triple Extortion drei Arten von Angriffen zum Einsatz:
- Eine Attacke mit Erpressersoftware (Ransomware): Sie verschlüsselt Daten auf Servern und Clientsystemen. Dadurch haben die Mitarbeiter von Unternehmen und öffentlichen Einrichtungen keinen Zugang mehr zu Anwendungen und Datenbeständen. Erst nach Zahlung eines Lösegelds erhalten sie vom Täter einen Entschlüsselungscode – in etlichen Fällen aber auch nicht.
- Das Ausschleusen von Geschäftsinformationen, die auf Systemen im Unternehmensnetz gespeichert sind. Die Angreifer drohen damit, diese Daten zu veröffentlichen oder zu verkaufen. Gelangen sensible Informationen wie interne Geschäftsdaten oder Kundeninformationen an die Öffentlichkeit, kann dies die Wettbewerbsfähigkeit beeinträchtigen oder Datenschutzbehörden auf den Plan rufen.
- Distributed-Denial-of-Service-Angriffe (DDoS): Sie blockieren den Zugang zu IT-Systemen, Cloud-Diensten und Online-Angeboten, etwa Webshops. Dadurch kann für Unternehmen ein erheblicher Schaden entstehen, nicht nur in Form entgangener Umsätze, sondern auch durch den Vertrauensverlust bei Kunden und Partnern.
Zielgruppe: Unternehmen und öffentliche Einrichtungen
Zu den bevorzugten Zielgruppen von Triple-Extortion-Angriffen zählen nicht nur Unternehmen, sondern auch öffentliche Einrichtungen wie Behörden und Kliniken. Angreifer bevorzugen dabei Organisationen, deren IT-Sicherheitslösungen, IT-Security-Fachleute und Mitarbeiter unzureichend auf solche Attacken vorbereitet sind. Das erhöht die Erfolgschancen der Aktionen. Ein drittes Auswahlkriterium ist, dass die Opfer in der Lage sind, ein Lösegeld zu bezahlen. In Deutschland häuften sich 2021 vor allem Angriffe auf Behörden, Kommunen, Kliniken und soziale Einrichtungen. So konnten im September 2021 die Stadtwerke Wismar wegen eines Ransomware-Angriffs keine Rechnungen mehr erstellen. Im Oktober 2021 war in der Stadt Witten (Nordrhein-Westfalen) zeitweilig ein Großteil der Bürgerservices nicht verfügbar.
Laut dem Netscout Threat Intelligence Report für das erste Halbjahr 2021 haben sich Cybercrime-Gruppen wie Maze, Sodinokibi und DoppelPaymer darauf spezialisiert, Ransomware-Attacken mit dem Ausschleusen von Unternehmensinformationen zu kombinieren (Double Extortion). Das hat den Vorteil, dass ein Opfer auch dann zur Zahlung genötigt werden kann, wenn es nach einem Ransomware-Angriff mithilfe von Backup-Dateien seine IT-Systeme wieder arbeitsfähig macht.
Die hohe Kunst der Erpressung: Kombination mit DDoS
Eine deutlich höhere Durchschlagskraft gewinnen Double-Extortion-Angriffe, wenn sie um eine DDoS-Komponente ergänzt werden. Laut Analysen von Netscout stieg im ersten Halbjahr 2021 die Zahl von DDoS-Attacken weltweit um elf Prozent auf rund 5,4 Millionen – ein neuer Weltrekord. Die größte Bandbreite, die dabei eingesetzt wurde, betrug 1,5 Terabit pro Sekunde. Sie kam im Juni 2021 bei einer Aktion gegen einen Internet-Serviceprovider in Deutschland zum Einsatz.
Mittlerweile werden vor allem Ransomware-Versionen wie Suncrypt, Darkside und Avaddon in Verbindung mit dem Diebstahl von Daten und DDoS verwendet. Dadurch erhöht sich der Druck auf die Zielunternehmen in mehrfacher Hinsicht. Kommt DDoS mit ins Spiel, unterstreicht dies, dass es der Angreifer ernst meint und über das technische Know-how verfügt, um einem Unternehmen ernsthaften Schaden zuzufügen. Außerdem erhöht eine DDoS-Komponente den Stress für die IT-Abteilung der betroffenen Organisation. Denn diese muss gewissermaßen an drei Fronten gleichzeitig kämpfen. Ein Großteil der IT-Sicherheitsfachleute von Unternehmen und öffentlichen Einrichtungen ist damit überfordert.
Arbeitsteilung wie in der Wirtschaft
Ein weiterer Grund, weshalb die kombinierten Cyber-Angriffe so gefährlich sind, ist die Professionalisierung der Cybercrime-Szene. So ist es heute nicht mehr üblich, dass ein Hacker alle Aufgaben übernimmt, wie zum Beispiel das Programmieren der Schadsoftware, etwa einer Ransomware, deren Verteilung auf die IT-Systeme der Opfer und das Eintreiben des Lösegelds. Wie in seriösen Wirtschaftszweigen hat sich eine Arbeitsteilung entwickelt. Entwickler von Malware arbeiten mit Experten zusammen, welche die Infrastruktur betreiben, über die eine Schadsoftware verteilt wird. Das erfolgt beispielsweise über Ransomware-as-a-Service-Plattformen, die wie ein Cloud-Dienst funktionieren. Der „Serviceprovider“ erhält einen Anteil am Lösegeld.
Nach demselben Schema funktioniert die Zusammenarbeit mit Fachleuten für Spam-E-Mails. Sie erstellen Nachrichten, die oft perfekt auf die Zielgruppe zugeschnitten sind. Das sind beispielsweise bestimmte Mitarbeiter oder Abteilungen in einem Unternehmen oder einer öffentlichen Einrichtung. Mithilfe von Spam-Nachrichten platzieren die Angreifer Schadsoftware auf IT-Systemen. Das erfolgt beispielsweise durch Word- und Excel-Dokumente mit eingebetteter Malware oder Internet-Links, die zu kriminellen Web-Seiten führen. Um die Wirksamkeit zu erhöhen, führen die Cyber-Kriminellen teilweise Aufklärungsaktionen durch. Sie ermitteln beispielsweise mithilfe von Social-Media-Plattformen und beruflichen Netzwerken wie Xing und LinkedIn die Namen und die Position von Beschäftigten. In deren Namen versenden sie dann Spam-Nachrichten mit Malware.
Durch diese Arbeitsteilung sind Cybercrime-Organisationen in der Lage, ihre Expertise auszubauen und immer wirkungsvollere Angriffe durchzuführen.
Gegenmaßnahmen ergreifen
Doch Unternehmen und Organisationen stehen solchen Angriffen nicht schutzlos gegenüber. Wichtig ist jedoch, dass sie zunächst ihre „Hausaufgaben“ machen:
Daten-Backups erstellen und Sicherheitslücken schließen: So ist es dringend geboten, regelmäßig Datensicherungen zu erstellen und sicherzustellen, dass diese nicht bereits mit einer Schadsoftware oder Ransomware infiziert sind. Außerdem ist es erforderlich, zeitnah Sicherheits-Patches auf IT-Systemen einzuspielen. Damit im Ernstfall das Wiedereinspielen von Daten aus Sicherungen klappt, sollte dies zudem regelmäßig getestet werden.
Das Unternehmensnetz absichern: Das lässt sich mithilfe von Lösungen für das Netzwerk-Monitoring und Cybersecurity-Software erreichen. Sie erkennen Schadsoftware sowie die Aktivitäten von Endgeräten und Netzwerkkomponenten, die auf einen Angriff hindeuten (Indicators of Compromise, IoCs). Wichtig ist, dass auch der Fernzugriff auf das Netzwerk durch Mitarbeiter im Homeoffice oder von unterwegs aus in das Sicherheitskonzept einbezogen wird.
Cyber-Threat-Intelligence-Lösungen (CTI) einsetzen: CTI-Plattformen ermitteln, welche IT-Security-Risiken auf den Plan treten und welche neuen Taktiken und Technologien Cyberkriminelle einsetzen. Dadurch können Nutzer proaktiv Gegenmaßnahmen ergreifen, etwa wenn Indizien auf eine bevorstehende Ransomware-Attacke hindeuten.
Vorkehrungen gegen DDoS-Angriffe treffen: Einen effektiven Schutz vor groß angelegten DDoS-Attacken, bei denen Bandbreiten von mehreren Hundert Megabit pro Sekunde verwendet werden, bieten cloudbasierte DDoS-Abwehrservices. Ergänzend dazu können Unternehmen und Organisationen Appliances einsetzen. Diese Systeme werden am Rand des Netzwerks platziert und bauen eine erste Verteidigungslinie gegen DDoS-Angriffe auf. Ergänzend dazu empfiehlt sich jedoch die Option, diese Appliances um eine DDoS-Abwehr aus der Cloud zu ergänzen. Denn es ist davon auszugehen, dass die Zahl und „Wucht“ von DDoS-Angriffen weiter zunehmen wird.
Die Mitarbeiter sensibilisieren und schulen: Beschäftige, denen die Risiken durch Cyberangriffe bewusst sind und die umsichtig agieren, sind ein zentrales Element jeder IT-Sicherheitsstrategie. Daher ist es notwendig, Mitarbeiter regelmäßig zu schulen und auf Gefahren hinzuweisen, etwa durch Spam- und Phishing-E-Mails oder den Einsatz privater Endgeräte.
Fazit
Mit Triple Extortion haben Cyberangriffe eine neue Dimension erreicht. Unternehmen, aber auch öffentliche Einrichtungen sollten unverzüglich handeln und wirkungsvolle Schutzmaßnahmen gegen solche Attacken ergreifen. Denn eines ist klar: Wer glaubt, das Problem durch das Zahlen von Lösegeld zu beseitigen, liegt falsch. Im Gegenteil: Solche Organisationen werden immer wieder von Kriminellen heimgesucht. Das ist nicht erst seit dem digitalen Zeitalter so.
Foto: Christian Syrbe, Chief Solutions Architect bei Netscout
Triple Extorsion: Drei Angriffstechniken statt einer