Erst Daten kopieren, dann verschlüsseln — und Double Extortion ist perfekt! Derzeit werden zahlreiche Unternehmen mit dieser Methode angegriffen.
Wir erklären, was es mit doppelter Erpressung auf sich hat und wie sich Unternehmen am besten davor schützen können.
Plötzlich taucht die Lösegeldforderung auf
Die Berichte über die zunehmende Zahl von Unternehmen, die Opfer von Cyberangriffen werden, sind ziemlich alarmierend. Es ist jedoch wichtig, den Kopf nicht in den Sand zu stecken. Stattdessen müssen sich Unternehmen dieser ständigen Bedrohung stellen und sich darauf vorbereiten. Hilfreich ist es beispielsweise, sich über die potenziellen Risiken zu informieren, denn nur dann können Schutzmaßnahmen ergriffen werden.
Ransomware-Angriffe stellen eine der größten Bedrohungen für Unternehmen dar. Wenn solche Schadsoftware in ein Unternehmensnetzwerk eindringt, kann sie den Zugriff auf lokale oder vernetzte Daten und Systeme verhindern. Dabei verschlüsselt sie in der Regel Benutzerdaten, darunter Büro-, Bild- und Videodateien, aber auch ganze Datenbanken oder Serversysteme. Und dann taucht plötzlich eine Erpressungsnachricht auf: Das Tool zur Entschlüsselung der Daten wird nur gegen Zahlung eines Lösegeldes ausgehändigt — andernfalls droht dem Schlüsselmaterial die Zerstörung.
Vor diesem Hintergrund ist es kein Wunder, dass das Bundesamt für Sicherheit in der Informationstechnik Ransomware-Angriffe als eine der größten Cyberbedrohungen für Staat, Wirtschaft und Gesellschaft einstuft. Doppelte Erpressung geht jedoch darüber hinaus und ist daher ein noch größeres Übel.
Was ist Double Extortion?
Double Extortion (auf Deutsch: doppelte Erpressung) ist eine Erpressungstaktik, die über gewöhnliche Ransomware-Angriffe hinausgeht. Bevor sie verschlüsselt werden, werden Dateien und Daten auf unsere eigenen Server kopiert, sodass Cyberkriminelle auch damit drohen können, sie zu veröffentlichen oder zu verkaufen. Ziel ist es, den Druck der Lösegeldforderung zu erhöhen: Weigert sich das betroffene Unternehmen, das Lösegeld zu zahlen, könnten die gestohlenen Daten veröffentlicht werden, was hohe finanzielle Verluste und enormen Reputationsschaden bedeuten würde.
Mit anderen Worten, bei einem doppelten Erpressungsangriff versuchen die Angreifer, zusätzlich zum Lösegeld auch Schweigegeld zu erpressen. Laut BSI ist dieses Verfahren inzwischen zur Norm für Ransomware-Angriffe geworden. Eine weitere Beobachtung des BSI: Sowohl Lösegeld- als auch Schweigegeldzahlungen sowie die Zahl der Opfer, deren Daten mangels Zahlungen auf Leak-Seiten veröffentlicht wurden, stiegen 2022. Die Lösegeldzahlung wird übrigens in der Regel in digitalen Währungen verlangt, was die Strafverfolgung erschwert.
Doppelte Erpressung: Phishing ist ein Einfallstor
Fakt ist: Zahlreiche Unternehmen und Organisationen sind derzeit mit solchen doppelten Erpressungsangriffen konfrontiert. Die Frage ist, wie es Cyberkriminellen tatsächlich gelingt, in Unternehmensnetzwerke einzudringen und diese Art der doppelten Erpressung zu initiieren. Die Antwort: Phishing-Angriffe sind das Einfallstor. In ihrem Gefolge schaffen es Angreifer immer wieder, auf Passwörter zuzugreifen und diese zu missbrauchen.
Dabei haben neuerdings auch Tools wie ChatGPT eine große Rolle gespielt. Sie erleichtern es Cyberkriminellen erheblich, Phishing-E-Mails und Phishing-Websites zu erstellen, und machen solche KI-Angriffe noch gefährlicher. Wie? Indem wir perfekt formulierte Texte ausspucken und täuschend echte Webseiten-Kopien erstellen. Selbst personalisierte E-Mails können innerhalb weniger Sekunden massenweise generiert werden. Dadurch wird es für potenzielle Opfer immer schwieriger, einen Phishing-Angriff als solchen zu erkennen.
Das Schadenspotenzial doppelter Erpressung ist also enorm — Tendenz steigend.
So schützen Sie sich vor doppelter Erpressung
Die gute Nachricht: Mit den richtigen Maßnahmen und technischen Vorkehrungen können Unternehmen zumindest das Risiko verringern, Opfer eines doppelten Erpressungsangriffs zu werden. Wir haben zehn Tipps für Sie:
- Implementieren Sie eine Backup-Strategie!
Sichern Sie Ihre Daten regelmäßig. Eine Sicherungskopie sollte auf jeden Fall vom eigentlichen Unternehmensnetzwerk getrennt werden. Durch die Anwendung der 3-2-1-Regel stellen Sie sicher, dass Ransomware-Angriffe keine Auswirkungen auf die Wiederherstellbarkeit haben. - Bereiten Sie sich auf einen Notfall vor!
Entwickeln Sie einen Notfallplan für den Fall eines Ransomware-Angriffs, damit jeder Mitarbeiter weiß, wie er im Notfall handeln und vorgehen muss. Das Notfallhandbuch sollte klare Kommunikationswege regeln, damit wir im Falle eines Angriffs schnell reagieren und die erforderlichen Maßnahmen ergreifen können. - Fördern Sie das Sicherheitsbewusstsein!
Schulen Sie Ihre Mitarbeiter regelmäßig im Bereich Cybersicherheit und machen Sie sie auf Phishing-Angriffe, verdächtige E-Mails und andere potenzielle Ransomware-Gateways aufmerksam. Die Mitarbeiter sollten auch in Bezug auf den Notfallplan für einen erfolgreichen Angriff geschult werden. - Entwickeln Sie Sicherheitsrichtlinien!
Erstellen Sie klare Sicherheitsrichtlinien und Verfahren für den Umgang mit sensiblen Daten und Angriffsszenarien. Stellen Sie sicher, dass alle Mitarbeiter diese Richtlinien kennen und einhalten. - Verwenden Sie Sicherheitssoftware!
Verwenden Sie effiziente Antiviren- und Anti-Malware-Software sowie eine Firewall, um bekannte Bedrohungen zu erkennen und zu blockieren. Denken Sie auch an E-Mail-Sicherheitslösungen, die sich ideal zum Erkennen und Blockieren von Phishing-Angriffen eignen. Mithilfe von Filtern können Sie gefährliche Anhänge und Links blockieren. - Implementieren Sie Zugriffsbeschränkungen!
Beschränken Sie den Zugriff auf Daten und Systeme auf das erforderliche Minimum. Benutzer sollten nur auf die Ressourcen zugreifen können, die sie für ihre Arbeit tatsächlich benötigen. - Verwenden Sie das Patch-Management!
Halten Sie Ihre Betriebssysteme, Anwendungen und Sicherheitssoftware auf dem neuesten Stand. Infolgedessen besteht für Cyberkriminelle zumindest keine Möglichkeit, bereits bekannte Sicherheitslücken auszunutzen. - Stärken Sie die Netzwerksicherheit!
Verwenden Sie Systeme zur Erkennung und Abwehr von Eindringlingen (IDS/IPS) und andere Tools zur Netzwerküberwachung, um verdächtigen Datenverkehr zu identifizieren und zu blockieren. - Achten Sie auf die Endpunktsicherheit!
Schützen Sie Geräte wie Computer, Laptops und mobile Geräte mit Sicherheitssoftware und verwalten Sie diese Geräte, um Sicherheitsrichtlinien durchzusetzen. - Verlassen Sie sich auf Sicherheitspartnerschaften!
Arbeiten Sie mit Regierungsbehörden und einem externen IT-Dienstleister zusammen, um Informationen über aktuelle Bedrohungen und Angriffsmuster zu erhalten und den Schutz vor Ransomware zu verbessern.
Es ist wichtig zu beachten, dass es keine hundertprozentige Sicherheit geben kann. Durch die Kombination dieser Maßnahmen können Unternehmen jedoch die Wahrscheinlichkeit eines erfolgreichen doppelten Erpressungsangriffs verringern.
IT-Experten helfen Ihnen gerne weiter!
Falls Ihr Unternehmen bereits Opfer eines doppelten Erpressungsangriffs geworden ist, haben wir zum Schluss noch einen ganz wichtigen Tipp: Laut BSI sollten das geforderte Lösegeld und Schweigegeld unter keinen Umständen gezahlt werden. Dafür gibt es zwei Gründe. Erstens gibt es trotz Bezahlung keine Garantie dafür, dass Unternehmen ihre Daten in einem brauchbaren Zustand zurückerhalten. Zweitens motiviert ihr Erfolg die Täter zu weiteren Angriffen, von denen dasselbe Unternehmen möglicherweise erneut getroffen wird.
In jedem Fall ist es besser, mit den oben genannten Maßnahmen Vorsichtsmaßnahmen zu treffen und einen erfolgreichen Ransomware-Angriff erst gar nicht erst entstehen zu lassen. Sie sind sich nicht sicher, wo Sie anfangen sollen, und fühlen sich von dieser Aufgabe überwältigt? Dann wenden Sie sich an uns. Wir sind mit unseren Partnern auf den Schutz vor Cyberangriffen spezialisiert und stellen Ihnen unser Wissen gerne zur Verfügung!
Weitere Informationen:
Informatik-Magazin, BSI, BSI
Zur besseren Lesbarkeit verwenden wir im Text die männliche Form. Es sind jedoch immer alle Geschlechter und Geschlechtsidentitäten gemeint.
Lesen Sie den Originalartikel auf IT-SERVICE.network