Der Ransomware-Angriff auf die Universit?t Manchester im Jahr 2023 endete nicht, als die Bedrohungsakteure die pers?nlich identifizierbaren Informationen (PII) von Fakult?tsangeh?rigen und Mitarbeitern sowie 250?GB an anderen Daten erfolgreich exfiltriert hatten. Als die Universit?t z?gerte, das L?segeld zu zahlen, entschieden sich die Angreifer f¨¹r eine Taktik, die bei Cyberkriminellen immer beliebter wird?¨C die dreifache Erpressung.
Da die Hacker w?hrend des Angriffs Daten exfiltriert hatten, konnten sie Kontakt mit Studierenden aufnehmen, deren PII kompromittiert worden waren, und ihnen mit der Ver?ffentlichung der Daten im Darknet drohen, wenn die Universit?t das L?segeld nicht zahlte. Diese Taktik der direkten Kontaktaufnahme mit Opfern setzt die betroffene Organisation weiter unter Druck und schadet ihrem Ruf.
In einem sich ver?ndernden Ransomware-Umfeld, in dem die Strafverfolgungsbeh?rden ihre Anstrengungen intensivieren und Organisationen ihre Ma?nahmen im Bereich Cybersecurity versch?rfen, mussten Bedrohungsakteure kreativ werden, um dauerhaft Erfolg zu haben. Diese Kreativit?t zeigt sich zunehmend in der doppelten und dreifachen Erpressung.
Was ist doppelte Erpressung?
Doppelte Erpressung liegt vor, wenn Cyberkriminelle die Daten einer Organisation exfiltrieren, bevor sie diese verschl¨¹sseln. Wenn eine Organisation dann z?gert, das L?segeld zu zahlen (da sie m?glicherweise ¨¹ber ein vollst?ndiges externes Backup zur Wiederherstellung der Systeme verf¨¹gt), droht der Angreifer mit der Ver?ffentlichung der gestohlenen Daten im Darknet oder ihrem Verkauf an andere. Dies kann zur Offenlegung von PII und dem geistigen Eigentum der Organisation f¨¹hren.
In j¨¹ngster Zeit setzen Bedrohungsakteure doppelte Erpressung nicht nur ein, um Druck auf die betroffenen Organisationen auszu¨¹ben, sondern lassen der Drohung auch Taten folgen und ver?ffentlichen Daten auf selbst betriebenen Leak-Sites. Im Falle der Sicherheitsverletzung bei MCNA Dental beispielsweise ver?ffentlichte die verantwortliche Ransomware-Gruppe LockBit alle Daten auf ihrer Leak-Website, bevor MCNA Dental das L?segeld zahlte. 2023 ver?ffentlichten Ransomware-Gruppen h?ufig gestohlene Daten auf Leak-Sites, vielleicht in dem Wissen, dass die Daten f¨¹r Angriffe gegen andere Organisationen genutzt werden k?nnen, wenn die betreffende Organisation nicht zahlt.
Was ist dreifache Erpressung?
Dreifache Erpressung liegt vor, wenn die Bedrohungsakteure w?hrend des Angriffs einen weiteren Beweggrund f¨¹r die Zahlung von L?segeld liefern oder eine dritte M?glichkeit finden, Geld von den Opfern zu erpressen. M?gliche Taktiken sind die Kontaktaufnahme mit einzelnen Opfern, deren Daten kompromittiert wurden, wie im Fall der Universit?t Manchester, die Verschl¨¹sselung weiterer Teile der Unternehmensumgebung oder die Androhung eines zweiten Angriffs, beispielsweise eines Distributed-Denial-of-Service-Angriffs (DDoS).
Die dreifache Erpressung verkompliziert den eigentlichen Angriff und ¨¹bt gleichzeitig zus?tzlichen Druck auf die Organisation aus, zu zahlen oder weitere Ausfallzeiten, Rufsch?digungen und m?gliche rechtliche Probleme oder andere Konsequenzen zu riskieren.
Bekannte Ransomware-Gruppen setzen diese Taktik allm?hlich immer ?fter ein. So hat Arctic Wolf Labs beispielsweise mehrere F?lle untersucht, in denen Royal and Akira nach dem urspr¨¹nglichen Angriff Kontakt zu Opfern aufgenommen und eine zweite Zahlung verlangt haben. Im November 2023 kontaktierte AlphaV die SEC, um eines seiner Opfer zu melden, das nie Anzeige erstattet hatte.
Der Wert der Datenexfiltration bei Ransomware
Da sich Cybersecurity und Cyberkriminalit?t in einem Kampf befinden, in dem jede Seite nach neuen M?glichkeiten sucht, die andere auszustechen, mussten sich Ransomware-Gruppen und einzelne Hacker weiterentwickeln. Die Organisationen haben sich n?mlich daf¨¹r entschieden, L?segeldforderungen abzulehnen und Datensicherungen zur Wiederherstellung des Betriebs zu verwenden und so den Bedrohungsakteuren jeglichen Einfluss zu nehmen, den diese bei einem Angriff h?tten. Backups erm?glichen eine Wiederaufnahme des Betriebs. Bei 71?% der Arctic Wolf? Incident Response-Eins?tze 2023 im Zusammenhang mit Ransomware konnte das betroffene Unternehmen Backups in irgendeiner Form nutzen, um seine Umgebung wiederherzustellen.
Hier ist die Datenexfiltration f¨¹r die Bedrohungsakteure zu einem Trumpf geworden. W?hrend der Verschl¨¹sselung, solange sie noch Zugang haben, beginnen diese Hacker, wertvolle Informationen zu exfiltrieren. Sie drohen dann damit, diese wertvollen Daten im Darknet zu ver?ffentlichen ¨C oder ver?ffentlichen sie einfach dort.
Die Ver?ffentlichung von exfiltrierten Daten bietet Bedrohungsakteuren mehrere Vorteile und zwingt Organisationen damit, jetzt oder in Zukunft L?segeld zu zahlen:
- Sie sch?digt den Ruf einer Organisation.
- Sie kann zu beh?rdlichen Untersuchungen und Geldstrafen f¨¹hren, insbesondere wenn pers?nlich identifizierbare Informationen (PII) ver?ffentlicht werden.
- Die Organisationen k?nnen unter Druck gesetzt werden, f¨¹r die L?schung der Daten zu bezahlen.
- Andere Bedrohungsakteure k?nnen die Daten, insbesondere Anmeldedaten, f¨¹r weitere Angriffe auf die Organisation oder andere Organisationen nutzen.
- Es entsteht eine unangenehme Situation, da die Opfer wissen, dass das Unternehmen ihre Daten nicht gesch¨¹tzt hat.
Die Bedrohungslandschaft ?ndert sich zwar st?ndig, doch die doppelte Erpressung scheint zu einem festen Bestandteil von Ransomware-Angriffen zu werden. Erst k¨¹rzlich haben zwei Ransomware-Gruppen ¨C ¨C gemeinsam ein neues Ransomware-as-a-Service (RaaS)-Modell gestartet, das Datenexfiltration beinhaltet. Damit f¨¹hren die beiden Gruppen Angriffe in verschiedenen Branchen und L?ndern durch. Andere Ransomware-Gruppen haben begonnen, eigene Leak-Sites einzurichten. Die Leak-Site von LockBit beispielsweise, einer Ransomware-Gruppe, die f¨¹r ihre doppelte Erpressung ber¨¹chtigt ist, wurde im Februar aus dem Internet entfernt, die Gruppe konnte jedoch innerhalb von weniger als einer Woche eine neue Leak-Site starten.
Auch wenn sich dieser Angriffsvektor weiterentwickelt, hei?t das nicht, dass die Organisationen einfach nur abwarten m¨¹ssen, bis sie auf der Angriffsliste einer Gruppe stehen.
So sch¨¹tzen Sie sich vor Erpressung bei Ransomware-Angriffen
Ransomware wird in n?chster Zeit nicht verschwinden. 2023 bezogen sich 48,6?% der Arctic Wolf Incident Response-Eins?tze auf Ransomware. Das L?segeld, das im Durchschnitt dabei gezahlt wurde, stieg im selben Jahr um 20?% auf 600.000?USD. Angesichts dieser Statistiken ist die Verteidigung gegen solche Angriffe ein entscheidendes Ziel f¨¹r jede Organisation. Es gibt verschiedenste M?glichkeiten f¨¹r die Organisationen, ihr Sicherheitsniveau zu erh?hen und Ma?nahmen zur Abwehr von Ransomware-Bedrohungen zu ergreifen.
1. Datensicherungen.
Zwar kann es immer noch zu einer Exfiltration kommen, doch Datensicherungen helfen Ihrer Organisation nicht nur bei der Wiederaufnahme des Betriebs im Falle eines Angriffs, sondern verschaffen Ihrem Incident Response (IR)-Team auch Klarheit ¨¹ber die vorhandenen Daten, ihren Wert und die Auswirkungen eines m?glichen Datenlecks. Dies wird bei L?segeldverhandlungen und anderen Incident-Response-Ma?nahmen hilfreich sein. Organisationen sollten sich dar¨¹ber im Klaren sein, f¨¹r welche Backups sie in einer hybriden oder reinen Cloud-Umgebung selbst zust?ndig sind, und daran denken, ihre Backups regelm??ig zu testen.
2. Rund-um-die-Uhr-?berwachung Ihrer Umgebung.
Echtzeitinformationen k?nnen den Unterschied zwischen einem versuchten Erstzugriff und einem Datenleck im Darknet ausmachen. Durch eine Rund-um-die-Uhr-?berwachung werden Sicherheitsteams auf verd?chtiges Verhalten, z.?B. den privilegierten Zugriff auf bestimmte Daten, aufmerksam gemacht. Mit einer L?sung wie Managed Detection and Response (MDR) k?nnen externe Partner reagieren und die Bedrohung ausschalten, bevor es zu einem Versto? kommt. Zudem beinhalten viele L?sungen f¨¹r die Rund-um-die-Uhr-?berwachung wie Arctic Wolf? Managed Detection and Response M?glichkeiten zur Erkennung und Reaktion auf Identit?tsbedrohungen (Identity Threat Detection and Response, ITDR). Dies kann entscheidend sein, um einen privilegierten Zugriff w?hrend eines Angriffs zu verhindern.
3. Identit?ts- und Zugriffsverwaltung (Identity and Access Management, IAM).
Ob Anwendung von Zero-Trust-Prinzipien, Nutzung einer Multi-Faktor-Authentifizierung (MFA) oder Best Practices f¨¹r Privileged Access Management (PAM) ¨C der Schutz von Benutzeridentit?ten kann viel bewirken, wenn es darum geht, den Erstzugriff und seitliche Bewegungen w?hrend eines Angriffs zu verhindern. 2023 waren bei 24,4?% der Vorf?lle Benutzeraktionen die Ursache. In F?llen von externem Remote-Zugriff (die 39?% der Vorf?lle im Jahr 2023 ausmachten) nutzten die Bedrohungsakteure g¨¹ltige Anmeldedaten. Dies macht deutlich, wie wichtig Identit?tssicherheit ist.
4. Schaffung eines Vulnerability-Management-Programms.
Die meisten Ransomware-Angriffe im letzten Jahr wurde laut Arctic Wolf Labs ¨¹ber einen externen Remote-Zugriff oder einen externen Exploit gestartet. Durch die Einf¨¹hrung eines konsequenten Vulnerability-Management-Programms, das einer regelm??igen Behebung von Schwachstellen Vorrang einr?umt, st?rken Organisationen ihre Verteidigung und verhindern den Erstzugriff durch Ransomware-Gruppen. Ein weiterer Grund, warum Patching so wichtig ist? Bei Nicht-BEC-Vorf?llen wurde 2023 in 25,6?% der Angriffe ein bekannte Schwachstelle ausgenutzt. Ein Viertel der Angriffe h?tte also durch angemessenes Vulnerability Management verhindert werden k?nnen.
Erfahren Sie mehr ¨¹ber die Entwicklungen auf dem Gebiet der Ransomware im Arctic Wolf Labs Threats Report 2024.
Entdecken Sie, wie Arctic Wolf MDR verhindert, dass aus einer Ransomware-Bedrohung ein Datenschutzversto? wird.
Erfahren Sie, wie eine MDR-L?sung Ihre Sicherheitsumgebung transformieren kann.
