Kundenservice Veranstaltungen: 02234-9894940
Kundenservice Bücher: 089-21837921
Aboservice Zeitschriften: 089-21837110

Ransomware mit Dreifach-Erpressung

Wie jeder kluge Unternehmer wissen auch gewiefte Bedrohungsakteure, dass ihr Geschäft nur so erfolgreich ist wie ihre neueste Innovation. Und wenn es darum geht, ungesicherte Organisationen von ihrem Geld zu trennen, gibt es Innovationen am laufenden Band. Die neueste ist die sogenannte Dreifach-Erpressung (Triple Extortion).,

„Dreifach-Erpressungs-Angriffe bestehen aus der Integration von DDoS-Angriffen (Distributed-Denial-of-Service) in ein RaaS-Portfolio (Ransomware-as-a-Service)“, so Christian Syrbe, Chief Solutions Architect bei NETSCOUT. Er erklärt, was hinter Triple Extortion steckt und was Unternehmen wissen müssen. „So gehen die Hacker vor: 

• Verschlüsselung

Bei der traditionellen Ransomware-Angriffsmethode dringen Cyberkriminelle in ein Netzwerk ein und verschlüsseln wertvolle Daten, so dass diese (und manchmal das gesamte System) für die Opferorganisation nicht mehr verfügbar sind. Die Angreifer fordern dann eine Zahlung für die Entschlüsselung. 

• Diebstahl

Hier exfiltrieren die Cyberkriminellen die Daten, bevor sie das Opfer aussperren. Anschließend drohen sie mit Veröffentlichung und/oder Verkauf der Daten, wenn sie nicht bezahlt werden. Diese zweite Stufe der Erpressung gefährdet auch diejenigen, die Daten mithilfe von Backups wiederherstellen können, aber nun dem Risiko der Datenexposition ausgesetzt sind. 

• DDoS-Angriff

Bisher als eigenständige Erpressungsmethode eingesetzt, fügen RaaS-Betreiber sie nun zu ihrer Liste der angebotenen Dienste hinzu. Dadurch wird der Druck auf das Opfer erhöht: Es unterstreicht die Bedrohung und die Aufrechterhaltung der Verfügbarkeit ist ein weiterer Stressfaktor für ein IT-Team, das sich bereits mit den ersten beiden Punkten beschäftigt.

 

So haben Cyberkriminelle eine Ransomware-Dreierkombination geschaffen, welche die Wahrscheinlichkeit einer Zahlung erhöht. Laut Bleeping Computer waren SunCrypt und Ragnor die ersten Anwender dieser Taktik. Seitdem sind andere auf den Zug aufgesprungen, darunter Avaddon und Darkside, die Täter des Colonial Pipeline-Vorfalls in den USA. 

DDoS-Angriffe sind billig sowie einfach zu starten, deshalb ist die Inkludierung in das immer ausgeklügeltere Arsenal von Ransomware-Betreibern logisch. Wir beobachten sogar, dass sie das Äquivalent eines Support-Centers einrichten, um den Opfern – nicht nur Unternehmen, sondern auch Regierungen, Schulen und öffentliche Infrastrukturen – bei der Entschlüsselung zu helfen. 

Potenzielle Ziele sollten grundlegende Schutzmaßnahmen organisieren und Netzwerkeinbrüche vermeiden, etwa durch Schulungen und Netzwerk- und Cybersecurity-Lösungen zur Erkennung von Indicators of Compromise (IoCs). Sie müssen wertvolle Daten sichern und Pläne zur Datenwiederherstellung testen. Außerdem helfen kontinuierliche Bedrohungsdaten, Vorboten eines Angriffs zu erkennen oder zu untersuchen. Letztlich ist angemessener DDoS-Schutz unentbehrlich: Eine hybride, intelligente Kombination aus Cloud-basierter und lokaler DDoS-Abwehr ist aktuelle Best Practice.“

ChristianSyrbe-min

Foto: Christian Syrbe, Chief Solutions Architect bei NETSCOUT

 

 

 

 

 

Teaserfoto: © Adobe Stock/Stuart Miles