Was ist Double Extortion Ransomware?
Ransomware wird immer raffinierter und gefährlicher. Cybersicherheitsexperten und Hacker befinden sich in einer Art Wettrüsten, und leider sind die Hacker derzeit die Gewinner. Das Aufkommen von Ransomware mit doppelter Erpressung ist ein Paradebeispiel für diesen Trend. Was ist also doppelte Erpressung, wie funktioniert sie, und was können Sie dagegen tun?
Definition von Ransomware mit doppelter Erpressung
Doppelt erpresserische Ransomware bezieht sich auf jede Art von Ransomware, die zwei verschiedene Erpressungsmethoden verwendet. In den meisten Fällen bezieht sich dies sowohl auf die Verschlüsselung als auch auf die Datenexfiltration. Bei der Verschlüsselung sperrt die Ransomware die Benutzer von ihrem System aus, indem sie die meisten ihrer Dateien unlesbar macht. Die Opfer werden dann aufgefordert, ein Lösegeld zu zahlen, wenn sie ihre Arbeit wieder aufnehmen wollen. Ransomware mit doppelter Erpressung geht sogar noch einen Schritt weiter, indem sie damit droht, sensible Daten für die Öffentlichkeit freizugeben, wenn die Opfer kein zusätzliches Lösegeld zahlen.
Geschichte von Ransomware mit doppelter Erpressung
Ransomware gibt es theoretisch schon seit den 1980er Jahren, aber so richtig profitabel wurde sie erst mit der Entwicklung von Bitcoin im Jahr 2010. Bitcoin ermöglichte es Hackern, Geld zu verlangen, ohne ihre Identität preiszugeben. Ransomware geriet 2017 mit dem Ransomware-Angriff WannaCry, der Hunderttausende von Rechnern lahmlegte, in die Schlagzeilen. WannaCry und die meisten anderen Arten von Ransomware verschlüsselten die Dateien auf den betroffenen Computern und verlangten ein Lösegeld im Austausch für den Entschlüsselungsschlüssel. Daraufhin begannen viele Menschen und Organisationen, sich ernsthaft mit ihrer Backup-Politik auseinanderzusetzen. Häufige, sichere Backups können ein Netzwerk gegen diese Art von Angriffen effektiv immun machen. Das Opfer des Angriffs kann seine Systeme einfach zurücksetzen und alle verschlüsselten Daten wiederherstellen. Die Hacker haben dies erkannt und sich darauf eingestellt. Anstatt einfach nur Daten zu sperren, begannen sie, sensible Daten zu sammeln und zu versuchen, die Opfer zu erpressen, indem sie mit deren Veröffentlichung drohten. Dies ist inzwischen ein zentraler Bestandteil der Funktionsweise vieler der größten und gefährlichsten Ransomware-Operationen geworden. Maze war der erste große Ransomware-Stamm, der doppelte Erpressung einsetzte, und Sodinokibi folgte kurz darauf.
Wie funktioniert Ransomware mit doppelter Erpressung?
Angriffe mit doppelter Erpressung bestehen aus mehreren Phasen. Wenn Sie die einzelnen Phasen verstehen, können Sie die Abwehrmaßnahmen vorbereiten, um Angriffe zu verhindern und zu stoppen.
- Erkundung. Zunächst müssen die Angreifer zwei Dinge über das Netzwerk des Opfers wissen: den Wert der Daten und Schwachstellen in der Verteidigung. In dieser Phase sind Unternehmen mit sensiblen Daten, wie Gesundheitsdienstleister oder Anwaltskanzleien, am ehesten Ziel von Angriffen.
- Infiltration. Als Nächstes versuchen die Angreifer, sich über einen offenen RDP-Port, eine Software-Schwachstelle, einen Phishing-Angriff oder eine Kombination aus diesen Möglichkeiten Zugang zu verschaffen.
- Seitliche Ausbreitung. Sobald Ransomware in ein Netzwerk eingedrungen ist, wird sie auf diese Weise verbreitet, da die Angreifer versuchen, sich Zugang zu möglichst vielen Teilen des Netzwerks zu verschaffen. Dies kann durch Phishing, Brute-Force-Angriffe oder den Einsatz von Tools wie Mimikatz geschehen, um an Zugangsdaten zu gelangen.
- Datenexfiltration. Sobald die Angreifer Zugriff auf sensible Daten haben, beginnt die Exfiltration. Dabei werden große Datenmengen auf die Server der Hacker hochgeladen.
- Lösegeldforderung. Sobald sie die Daten gesichert haben, verschlüsseln die Hacker das Netzwerk des Opfers und sperren es ab, so dass es nicht mehr arbeiten kann. Anschließend verlangen sie eine Zahlung für den Entschlüsselungsschlüssel.
- Zweite Lösegeldforderung. Gut vorbereitete Unternehmen werden nun ihr Netzwerk von einem sicheren Backup wiederherstellen. Gibt es keine Sicherungskopie, können sie das Lösegeld zahlen oder ihre Daten von Grund auf neu aufbauen. Hacker haben spezielle Websites für die Veröffentlichung gestohlener Daten. Weigert sich das Opfer zu zahlen, werden alle Daten der Öffentlichkeit zugänglich gemacht.
Wie man Angriffe mit doppelter Erpressung verhindert
Herkömmliche Ransomware-Angriffe und Angriffe mit doppelter Erpressung erfordern jeweils eigene Abwehrmaßnahmen. Generell gilt jedoch, dass die meisten Schutzmaßnahmen, die eine Datenexfiltration verhindern, auch die allgemeine Sicherheit erhöhen. Die Vorbereitung auf doppelte Erpressungsangriffe erfordert besondere Aufmerksamkeit in einigen Schlüsselbereichen.
- Verschlüsselung. Gute Verschlüsselungspraktiken sind ein Muss, um die Datenexfiltration zu verhindern. Wenn die Daten verschlüsselt sind, können Hacker sie nicht nutzen, selbst wenn sie Zugang zu ihnen erhalten.
- Anwendung des Prinzips der geringsten Privilegien. Das Prinzip der geringsten Privilegien besagt, dass jeder Netzwerkbenutzer nicht mehr Zugriff auf das Netzwerk haben sollte, als er für seine Arbeit unbedingt benötigt. Je mehr Personen über Verwaltungsrechte verfügen, desto leichter wird es für Hacker, sich im gesamten Netzwerk auszubreiten und Zugang zu Daten zu erlangen.
- Überwachung des Netzwerks. Die Datenexfiltration erzeugt eine Menge Datenverkehr. Viele Gigabytes an Daten müssen auf die Server des Angreifers übertragen werden. Die beste Netzwerküberwachung ist ein interner Cybersicherheitsexperte, der ungewöhnlichen Datenverkehr erkennen und ihn sofort stoppen kann. Es ist jedoch auch möglich, die Netzwerküberwachung auszulagern oder automatisierte Software zu verwenden.
- Richtlinien zur Datenverwaltung. Einige Informationen sind sensibler als andere. Hochsensible Daten können getrennt vom allgemeinen Speicher aufbewahrt werden, stärkeren Sicherheitsvorkehrungen unterliegen oder vollständig geschwärzt werden, um das Risiko der Exfiltration zu minimieren.
- Phishing-Aufklärung. Phishing-Angriffe sind ein wesentlicher Bestandteil vieler der verheerendsten Doppelerpressungsangriffe. Jeder, der mit einem Netzwerk zu tun hat, sollte zumindest ein grundlegendes Bewusstsein dafür haben, wie Phishing funktioniert, und sich über die neuesten Trends auf dem Laufenden halten. Mitarbeiter, die Zugang zu sensiblen Informationen haben, sollten besonders sensibilisiert sein, und es kann sich für sie lohnen, eine zusätzliche Schulung zu besuchen.
Worst-Case-Szenario: Reaktionsplan auf Vorfälle
Nicht zuletzt ist es wichtig, einen Notfallplan zu haben. Eine größere Datenpanne kann extrem stressig sein, und im Eifer des Gefechts können leicht falsche Entscheidungen getroffen werden. Wenn Sie einen guten Reaktionsplan parat haben, können Sie die notwendigen Schritte sicher und methodisch durchgehen. Für den Fall, dass alle Sicherheitsvorkehrungen versagen, kann ein guter Partner für die Reaktion auf einen Ransomware-Vorfall wie Beforecrypt ein wichtiger Teil eines guten Reaktionsplans sein. Beforecrypt hat bereits Hunderte von Ransomware-Fällen bearbeitet und kennt die besten Methoden für den Umgang mit verschiedenen Ransomware-Banden, um den Schaden zu minimieren und die Systeme so schnell wie möglich wieder online zu bringen.
Bei Datenschutzverletzungen gibt es auch wichtige rechtliche und regulatorische Bedenken. Je nach Land und Branche, in der Sie tätig sind, können besondere Anforderungen gelten, deren Nichteinhaltung mit hohen Geldstrafen geahndet wird. BeforeCrypt kann Sie bei all diesen Anforderungen unterstützen und Ihrem Unternehmen helfen, die gesetzlichen Vorschriften einzuhalten.
Wenn Sie von einem Ransomware-Angriff mit doppelter Erpressung betroffen sind oder wenn Sie Hilfe bei der Erstellung eines Ransomware-Reaktionsplans benötigen, wenden Sie sich noch heute an uns, um eine kostenlose Beratung zu unseren Ransomware-Wiederherstellungsdienste zu erhalten.