Der Begriff Ransomware steht für eine Art von Schadprogrammen, die den Zugriff auf Daten und Systeme einschränken oder unterbinden.
Für die Freigabe wird dann ein Lösegeld (englisch: Ransom) verlangt.
Entweder sperrt ein solches Schadprogramm den kompletten Zugriff auf das System oder es verschlüsselt bestimmte Nutzerdaten.
Besonders verbreitet ist Ransomware, die sich gegen Windows-Rechner richtet.
Prinzipiell aber können alle Systeme von Ransomware befallen werden.
Dieses ist für Verantwortliche ein absoluter Alptraum, denn eben waren die Daten noch einwandfrei zu benutzen und nur ein paar Sekunden später ist alles verschlüsselt und damit unbrauchbar.
Angriffe mit Ransomware sind keine Seltenheit und Double Extortion ein beliebtes Szenario.
Was das genau ist und wie solche Angriffe ablaufen, verrät der folgende Beitrag.
Was ist Double Extortion Ransomware?
Bei üblichen Angriffen mit Ransomware gibt es zumeist ein Druckmittel.
Die Daten eines oder mehrerer Systeme werden verschlüsselt.
Für die Entschlüsselung wird ein Lösegeld gefordert.
Bei Double Extortion gilt das Motto „doppelt hält besser“.
Hierbei ergänzen die Angreifer weitere Druckmittel.
Wörtlich übersetzt bedeutet Double Extortion nämlich “doppelte Erpressung“.
Es geht jedoch nicht um eine mehrfache Erpressung im eigentlichen Sinne.
Vielmehr geht es um den Einsatz mehrerer Druckmittel für die Erpressung, um die Lösegeldzahlung für das betroffene Unternehmen als unumgänglich darzustellen.
Die Druckmittel der Angreifer
Das Schlimmste neben Unbrauchbarmachung der eigenen Unternehmensdaten ist die Veröffentlichung firmeninterner Geheimnisse und sensibler Daten.
Bei der Double Extortion kopieren die Angreifer zumeist die Daten vor ihrer Verschlüsselung.
Dabei bevorzugen sie möglichst sensible Informationen und laden diese häufig in eine ihnen zugängliche Cloud hoch. Im weiteren Verlauf wird dann mit der Veröffentlichung oder Versteigerung von genau diesen Daten gedroht.
Darüber hinaus gibt es noch andere probate Mittel, um den Druck auf ein Unternehmen zu erhöhen.
Häufig werden sogenannte DDoS-Angriffe (Distributed Denial Of Service) auf ausgewählte Dienste angedroht.
Außerdem können Angreifer häufig viele Informationen auf den Systemen gewinnen, die ebenfalls als Druckmittel einsetzbar sind.
Ein Beispiel sind festgestellte Verstöße gegen die DSGVO.
Hierbei liegen die Lösegeldforderungen dann häufig unter dem Bußgeld, welches zu erwarten wäre. Damit wollen die Angreifer die Unternehmen vor der öffentlichen Blöße und den Konsequenzen der Aufsichtsbehörden „schützen“.
Jeder Angriff besitzt seine eigenen Abläufe. Es gibt jedoch gängige Szenarien, die sich bei dieser Art von Angriffen immer wieder zeigen.
Der Angriff
Als erstes wird das System kompromitiert, dabei existieren eine Vielzahl an Angriffsmöglichkeiten zum Eindringen und Infiltrieren vom System.
Durch Phishing-E-Mails, Sicherheitslücken in Software durch fehlende Updates und Sicherheitspatches, sowie Mangelhafte Firewallkonfigurationen und Kompromittierung über extern angeschlossene Geräte.
Das Eindringen
Nach erfolgreichem Ausnutzen des Einfallstores folgt der nächste Schritt.
Anfangs haben die meisten Angreifer zum Ziel, ihren Zugriff auszuweiten und mehrere Systeme zu infiltrieren. Anschließend ist das Ziel das Ausspähen größerer Datenmengen.
Dafür werden häufig simple Tools und Protokolle verwendet. Ein typisches Beispiel wäre die Weiterverbreitung über das Remote-Desktop-Protokoll, sofern dieses freigegeben ist.
Darüber hinaus impliziert diese Phase zumeist noch den Versuch, höhere Rechte auf den Systemen zu erlangen. Die sogenannte Privilege Escalation soll dem Angreifer erhöhte Rechte verschaffen, um mehr Möglichkeiten und Einblicke auf den Systemen zu erhalten.
Der Datendiebstahl
Die Angreifer haben mittlerweile einen Überblick über die Infrastruktur und bewegen sich mit erhöhten Rechten von System zu System. Außerdem erkennen die Angreifer, welche Daten von Bedeutung für das Unternehmen sind.
So fangen sie anschließend an, diese zu kopieren und abzuziehen.
Hierfür gibt es ebenfalls mehrere Methoden. Eine häufige Methode ist das Hochladen auf einen Cloudspeicher über den Browser. Auf diesen haben die Angreifer Zugriff, um die Daten wieder herunterzuladen.
Die Verschlüsselung
Durch die Phase der Daten-Exfiltration haben die Angreifer alles Notwendige für sich gesichert.
Abschließend beginnt der eigentliche Angriff. Es wird eine Ransomware durch die Angreifer platziert und ausgeführt. Daraus resultiert eine Verschlüsselung aller erreichbaren Daten.
Die Erpressung
Meistens beinhaltet dies auch das Ablegen einer Notiz. Diese sogenannte Ransomnote ist meistens eine Textdatei.
Sie enthält den Erpresserbrief mit Zahlungsaufforderung und der Möglichkeit der Kontaktaufnahme. Darüber hinaus wird meistens mit der Veröffentlichung oder Versteigerung der exfiltrierten Daten gedroht.
Der Schutz gegen Double Extortion Angriffe
Angriffe mit Ransomware stellen für Unternehmen eine große Herausforderung dar.
Es gibt aber Maßnahmen, um sich vor solchen Angriffen zu schützen. Eine wirksame Schutzstrategie gestaltet sich dabei individuell. Sie ist abhängig von den Gegebenheiten der zu schützenden Infrastruktur.
Nicht jede effektive Maßnahme ist auch für jedes Unternehmen umsetzbar.
Doch durch Awareness-Trainings und Sensibilisierung der Mitarbeiter, dem Einsatz von Spamfiltern für E‑Mails und Webfiltern für die Internetnutzung, sowie Sperren nicht benötigter Ports und dem zeitnahen Einspielen von Updates und Patches wird das Risiko minimiert.
Was tun bei einem Double Extortion Angriff
Zunächst gibt es viele sinnvolle Maßnahmen, um im Falle eines Angriffs keinem vollständigen Kontrollverlust zu unterliegen.
Darüber hinaus gibt es weitere Maßnahmen, um den drohenden Schaden zu begrenzen. Ein Überwachung der Systeme auf Anomalien und der Einhaltung der DSGVO und anderer Vorschriften, um Erpressbarkeit zu vermindern sind nur einige Wichtige Maßnahmen.
Also lassen Sie sich gut beraten.