Die doppelte Erpressung bei Cyberangriffen ist allgemein bekannt. Nach einem Ransomware-Angriff werden Unternehmen nicht nur durch die Verschlüsselung ihrer Daten erpresst, sondern auch durch die Androhung eines Datenlecks. Jetzt fügt die dreifache Erpressung eine weitere Bedrohung hinzu.
Wir erklären, was es mit dreifacher Erpressung auf sich hat und wie sich Unternehmen schützen.
Cyberkriminelle mit neuen Betrügereien
Die Zahlen sind besorgniserregend: Die Zahl der Ransomware-Angriffe stieg im ersten Quartal 2021 um 57 Prozent, doppelt so viele Unternehmen und Organisationen wie im gleichen Zeitraum des Vorjahres fielen im ersten Halbjahr 2021 einem solchen Angriff zum Opfer. Pro Woche waren 1.000 Unternehmen und Organisationen von Ransomware betroffen, ein neuer Rekord wurde erreicht. Zu den Sektoren, die besonders betroffen sind, gehören das Gesundheitswesen, der Versorgungssektor und der Versicherungs-/Rechtssektor.
Der aktuelle Bericht der Sicherheitsforscher von Check Point Research wirft einen Blick auf die globale Situation der Cyberkriminalität — und deshalb gibt es in dieser schlechten Nachricht auch einen kleinen Trost: Unternehmen und Organisationen in Deutschland scheinen derzeit nicht so sehr im Fokus von Cyberkriminellen zu stehen. Stattdessen sind Indien, Argentinien, Chile, Frankreich und Taiwan derzeit offenbar besonders beliebt.
Dennoch ist auch für Unternehmen in Deutschland äußerste Vorsicht geboten. Denn: Cyberkriminelle haben eine neue Masche für ihre Machenschaften entdeckt: Mit der dreifachen Erpressung wollen sie den Druck auf Unternehmen nach einem Ransomware-Angriff weiter erhöhen.
Doppelte Erpressung ist ein Erfolgsrezept
Was ist nochmal die dreifache Erpressung, fragen Sie sich vielleicht an dieser Stelle. Im Jahr 2020 erwies sich doppelte Erpressung für Cyberkriminelle als besonders lukrativ und daher als Mittel der Wahl. Doppelte Erpressung heißt: Nachdem Ransomware in ein Unternehmensnetzwerk geschmuggelt wurde, schaffen die Täter einen ersten Hebel für ihre Lösegeldforderungen, indem sie die Daten verschlüsseln und mit der Veröffentlichung dieser Daten drohen, einen zweiten Hebel.
Diese Taktik hat sich offenbar als erfolgreiches Konzept erwiesen. So stieg die durchschnittliche Lösegeldzahlung im Jahr 2020 um 171% — auf rund 310.000 US-Dollar. Dennoch gibt es immer noch genügend Unternehmen, die auf Empfehlung offizieller Behörden handeln, eine Lösegeldforderung ablehnen und einen Verlust von Daten in Kauf nehmen, sofern kein adäquates Backup-Management besteht.
Um ihre Erfolgsstatistiken und Effizienz noch weiter zu verbessern, scheinen Cyberkriminelle ihr Konzept nun auf die nächste Stufe gebracht zu haben. Das Ergebnis: die dreifache Erpressung.
Was ist die dreifache Erpressung?
Die dreifache Erpressung ist eine Weiterentwicklung der doppelten Erpressung und besteht aus den folgenden drei Schritten:
- Nachdem Ransomware injiziert wurde, werden Unternehmensdaten unbemerkt kopiert und an die Server der Kriminellen weitergeleitet. Datendiebstahl bleibt in der Regel unbemerkt. Darauf folgt die Verschlüsselung der Daten. Die Angst vor Datenverlust ist der erste Schritt.
- Zu diesem Zeitpunkt fordern die Täter im Gegenzug Lösegeld, sie bieten an, die Daten zu entschlüsseln. Sie verstärken ihre Forderung, indem sie mit der Veröffentlichung der gestohlenen Daten drohen — und damit den zweiten Hebel nutzen.
- NEU: Lösegeldforderungen werden nun auch an Kunden, Geschäftspartner, Lieferanten und Patienten gestellt, die Kriminellen extrahieren die Kontaktdaten dafür aus den gestohlenen Daten.
ODER: Um den Druck auf die Opfer noch weiter zu erhöhen, werden ihre IT-Systeme mit DDoS-Angriffen bombardiert, um sie endgültig zum Erliegen zu bringen; die Hackergruppe BlackCat ist hier ein Beispiel.
Mit diesem dritten Hebel wollen die Akteure der Cyberkriminalität nun endlich gegen unwillige Unternehmen vorgehen: Der drohende Imageverlust soll sicherstellen, dass sie das Lösegeld innerhalb der gesetzten Frist zahlen; genauso sollen die DDoS-Attacken Firmen zum Einlenken bewegen.
Dreifache Erpressung: Die finnische Klinik ist das erste Opfer
Laut Check Point Research war das erste prominente Opfer dieser neuen Angriffskette die Vastaamo Clinic, eine finnische Einrichtung mit 40.000 Patienten, die auf Psychotherapie spezialisiert ist. Im Zuge eines erfolgreichen Ransomware-Angriffs konnten die Angreifer auf umfangreiche Patientendaten zugreifen.
In der Folge erhielt die Klinik nicht nur eine Lösegeldforderung, sondern auch kleinere Summen wurden von den Patienten selbst gefordert. In E-Mails erhielten die Patienten die Drohung, dass die Sitzungsnotizen ihrer Therapeuten veröffentlicht würden, sofern das Lösegeld nicht gezahlt würde.
Es zeichnet sich bereits ab, dass sich dreifache Erpressung durchsetzen könnte. Check Point Research hat bereits beobachtet, dass einige Hackergruppen nun DDoS-Angriffe und VoIP-Anrufe für Journalisten und Kollegen in ihrem Portfolio als Sahnehäubchen für ihr Ransomware-as-a-Service-Geschäft anbieten.
Der Druck auf Unternehmen nimmt zu
Fakt ist: Unternehmen haben angesichts der dreifachen Erpressung noch mehr zu verlieren. Die Datenschutzbehörden werden sicherlich nicht nachsichtig sein, wenn Opfer Dritter auf diese Weise außerhalb des tatsächlich betroffenen Netzwerks geschädigt werden. Neben finanziellen Einbußen durch die Verschlüsselung der eigenen Unternehmensdaten, allfälliger Lösegeldzahlungen und der Wiederherstellung von Geschäftsprozessen drohen daher auch Bußgelder.
Nicht zu vergessen der enorme Imageverlust, der sich erst gar nicht messen lässt. Das Vertrauen der Kunden und Geschäftspartner wird definitiv darunter leiden, wenn sie durch die dreifache Erpressung Opfer Dritter werden. Unternehmen sollten daher alles daran setzen, dass es nicht zu einem solchen Vorfall kommt.
Dreifache Erpressung: So schützen sich Unternehmen
Stellen Sie sich an dieser Stelle die Frage, wie Sie das in Ihrem Unternehmen am besten umsetzen können? Die Experten von Check Point haben aus ihren jüngsten Beobachtungen auch Erkenntnisse dazu gezogen. Lassen Sie uns diese Tipps zusammenfassen:
- Vorsicht ist auch an freien Tagen geboten!
Im vergangenen Jahr fanden die meisten Ransomware-Angriffe an Wochenenden und Feiertagen statt. Cyberkriminelle setzen darauf, dass die Adressaten ihrer Malware-Kampagnen weniger wachsam sind. - Sicheheitsupdate und Patches sofort installieren!
Sobald die Hersteller ein Sicherheitsupdate veröffentlichen, ist die Sicherheitslücke offiziell bekannt. Cyberkriminelle springen direkt ein und verstärken ihre Angriffe. Unternehmen tun daher gut daran, Sicherheitspatches auf alle Geräte anzuwenden, sobald sie veröffentlicht werden. Unser Extra-Tipp: Mit effizientem Patchmanagement funktioniert das völlig automatisch. - Schulung des Sicherheitsbewusstseins!
Die meisten Cyberangriffe im Jahr 2020 und im ersten Halbjahr 2021 begannen mit einer Phishing-E-Mail an Mitarbeiter des Unternehmens. Oft enthielt die E-Mail selbst keine Malware, sondern nutzte Social-Engineering-Techniken, um den Empfänger dazu zu bringen, auf einen bösartigen Link zu klicken. Die Schulung des Sicherheitsbewusstseins aller Mitarbeiter ist daher eine wichtige Rolle beim Schutz vor Ransomware. - Verwenden Sie eine Anti-Ransomware-Lösung!
Gezielte Spear-Phishing-E-Mails können die vorsichtigsten Mitarbeiter täuschen und dazu führen, dass sich Ransomware Zugriff auf die internen Systeme eines Unternehmens verschafft. Spezielle Anti-Ransomware-Lösungen identifizieren Anomalien, die durch Ransomware verursacht werden. Sie überwachen Computer auf verdächtiges Verhalten und ergreifen, falls Auffälligkeiten auftreten, sofort Maßnahmen, um die Verschlüsselung zu beenden. - Beobachten Sie Ihr Netzwerk!
In der Regel beginnt die (dreifache) Erpressung nicht sofort. Erstens wird häufig Schadsoftware wie Trickbot, Emotet, Dridex oder CobaltStrik eingeschleust, was wiederum Ryuk und anderer Ransomware Tür und Tor öffnet. Unternehmen sollten ihr Netzwerk daher regelmäßig auf Infektionen überprüfen und Schadsoftware mithilfe von Threat-Hunting-Lösungen entfernen.
Mit diesen Tipps schützen sich Unternehmen bis zu einem gewissen Grad. Grundsätzlich gilt jedoch: Um den Bedrohungen durch Cyberkriminalität zu begegnen, ist eine umfassende, lückenlose IT-Sicherheitsstrategie erforderlich.
Experten schützen Unternehmen
Zum Schluss noch eine gute Nachricht: Sie stehen nicht allein vor der Herausforderung, Ihr Unternehmen vor Ransomware im Allgemeinen und dreifacher Erpressung im Besonderen zu schützen. IT-Sicherheitsspezialisten stehen Unternehmenskunden gerne zur Seite — und das sogar dauerhaft.
one4 IT kann beispielsweise auf Anfrage ein wasserdichtes IT-Sicherheitskonzept für Ihr Unternehmen entwickeln. Dazu gehören häufig die Untersuchung Ihres Netzwerks mit einem IT-Sicherheitscheck auf Schwachstellen, die Implementierung effizienter Sicherheitslösungen, ein regelmäßiges Patchmanagement und sogar die Schulung Ihrer Mitarbeiter im Sicherheitsbewusstsein. Es gibt jedoch noch andere Komponenten, über die unsere Experten Sie gerne in einem persönlichen Gespräch informieren.
Ist das genau das, was Sie für Ihr Unternehmen benötigen? Dann nehmen Sie am besten direkt Kontakt auf und vereinbaren einen Termin mit uns für ein erstes, unverbindliches Gespräch. Wir freuen uns von Ihnen zu hören!
Weitere Links:
Check Point, Bleeping Computer
Lesen Sie den Originalartikel auf IT-SERVICE.network