Verschlüsselung trifft Exfiltration

Ransomware-Erpresser drohen mit Daten-Outing

05.05.2021
Von 
Heiko Frank ist Senior System Engineer beim IT-Sicherheitsanbieter A10 Networks.
Ransomware hat bei den Cyberkriminellen weiterhin Hochkonjunktur. Doch die Gangster beschränken sich nicht mehr auf das Verschlüsseln der Daten, sondern drohen mit deren Veröffentlichung im Dark Web.
Daten-Exfiltration ist die neue Waffe der Cyberkriminellen.
Daten-Exfiltration ist die neue Waffe der Cyberkriminellen.
Foto: KomootP - shutterstock.com

Ransomware und die damit verbundenen Attacken begleiten Cybersecurity-Experten bereits seit einigen Jahren. Doch mit der Erpressung von Lösegeld für die Zugangscodes zur Entschlüsselung der Dateien ist es nicht mehr getan. Die Kriminellen drohen immer häufiger mit Daten-Exfiltration und versuchen, wie etwa der Ransomware Threat Report 2021 zeigt, doppelt abzukassieren.

Während theoretisch jedes Unternehmen Ransomware-Angriffen zum Opfer fallen kann, suchen sich die Angreifer ihre Ziele oftmals aufgrund bestimmter Merkmale aus. Besonders sensible Daten, die Angst vor Reputationsverlusten durch entsprechende Attacken und unzureichende Sicherheitsvorkehrungen reichen bereits aus, um ins Fadenkreuz der Kriminellen zu geraten. Universitäten verfügen beispielsweise oftmals nur über einen geringen Schutz gegen Ransomware und andere Cyberattacken, arbeiten zugleich aber häufig mit verschiedenen Filesharing-Diensten. Sie sind daher leichte Beute für Phishing-E-Mails und häufig im Fokus von Cyberkriminellen.

Die öffentliche Hand im Visier

Kommunen und andere staatliche Einrichtungen hingegen müssen die Verfügbarkeit ihrer Computersysteme rund um die Uhr gewährleisten, schließlich basieren darauf essenzielle öffentliche Dienstleistungen. Erfolgt keine schnelle Wiederherstellung der Daten, können beispielsweise polizeiliche Stellen, Notfalleinrichtungen, der öffentlichen Nahverkehr oder das Justizsystem nicht wie gewohnt arbeiten. Entsprechend dringend sind im Umkehrschluss auch die Bemühungen zur Wiederherstellung aller Daten zu gestalten.

Das Verschlüsseln der Daten ihrer Opfer genügt den Gangstern mittlerweile nicht mehr.
Das Verschlüsseln der Daten ihrer Opfer genügt den Gangstern mittlerweile nicht mehr.
Foto: SynthEx - shutterstock.com

Für Krankenhäuser und andere Gesundheitseinrichtungen macht der Zugang zu Patientendaten den Unterschied zwischen Leben und Tod aus. Aber auch Finanzinstitute, Anwaltskanzleien und große Unternehmen zahlen zum Teil lieber Lösegeld, als mit einer Ransomware-Attacke in Verbindung gebracht zu werden - vorausgesetzt, sie verfügen über die nötigen Ressourcen.

Die genannten Beispiele zeigen eindeutig, dass Ransomware-Angriffe weitaus gefährlicher sind als einfacher Datendiebstahl. Letzterer ist für die Opfer zwar ebenfalls unangenehm, aber immerhin bleibt der Zugriff auf die gestohlenen Daten erhalten. Bei einer Ransomware-Attacke hingegen sind die Daten zunächst verschwunden, was einen normalen Geschäftsbetrieb effektiv unmöglich macht.

Gefährliche Cybercrime-Kombination

Ransomware-Attacken werden hinsichtlich ihrer Technologie und Vorgehensweise laufend weiterentwickelt und dadurch immer gefährlicher. Für Cybersecurity-Experten ist dabei insbesondere die jüngste Entwicklung alarmierend: Ransomware-Angriffe treten immer häufiger zusammen mit Datendiebstahl und Daten-Exfiltration auftreten. Die Kombination dieser drei Vorgehensweisen stellt eine besonders große Gefahr für Unternehmen und Cybersecurity-Verantwortliche dar.

Zahlen die Opfer nicht, drohen die Kriminellen damit, die Unternehmen durch die Veröffentlichung ihrer Daten an den Pranger zu stellen.
Zahlen die Opfer nicht, drohen die Kriminellen damit, die Unternehmen durch die Veröffentlichung ihrer Daten an den Pranger zu stellen.
Foto: Elnur - shutterstock.com

Konventionelle Daten-Exfiltration ist eine Vermischung aus Datendiebstahl und Erpressung. Dabei dringt ein Hacker in die Sicherheitsstruktur eines Unternehmens ein und filtert Daten nach deren geschätztem Wert. Finanzbelege, geistiges Eigentum eines Unternehmens und sensible Geschäftsinformationen können genauso dazu gehören wie vertrauliche Nachrichten oder geplante Marktaktivitäten. Nachdem der Angreifer die Daten gesichert hat, bestimmt er ihren jeweiligen Wert, indem er sie auf dem Schwarzmarkt potenziellen Interessenten anbietet. Ist dieser Schritt abgeschlossen, kontaktiert der Erpresser das angegriffene Unternehmen und verlangt ein Lösegeld, um den Verkauf der Daten an Dritte zu verhindern. Verantwortliche stehen dadurch vor der schwierigen Situation einen erheblichen Imageschaden, mögliche Strafen von behördlichen Stellen oder andere negative Auswirkungen zu riskieren, sollten die gestohlenen Daten veröffentlicht werden. Die Daten selbst bleiben aber für die Opfer jederzeit zugänglich.

Im Laufe des letzten Jahres ergänzten die Varianten Maze und DopplePaymer traditionelle Ransomware-Attacken um die Dimension der Daten-Exfiltration. Weigert sich bei einer Attacke ein Opfer das Lösegeld zu bezahlen, veröffentlicht der Hacker einen Teil der erbeuteten und verschlüsselten Daten, macht den Angriff damit publik und erhöht den Druck zur Kooperation. Die dadurch entstehende Kombination aus Imageschaden und Datendiebstahl, in Verbindung mit dem operativen Ausfall während der Ransomware-Attacke ist ebenso effektiv wie gefährlich. Das Backup von Daten stellt gegen diese Doppelgefahr keinen alleinigen Schutz mehr dar.

Garmin zahlte 10 Millionen Lösegeld

Mehrere größere Ransomware-Attacken haben die Cybersecurity-Experten im Jahr 2020 aufhorchen lassen und zum Teil sogar überrascht. Garmin, ein großer Technologie-Konzern mit einem weitreichenden Portfolio von GPS-Geräten für Branchen von der zivilen Luftfahrt bis hin zu Personal Fitness, war Ziel eines WastedLocker-Angriffs, der den Zugriff von Millionen Nutzern auf die Online-Dienste vorrübergehend einfror. Übereinstimmenden Berichten zufolge zahlte Garmin ein Lösegeld in Höhe von 10 Millionen US-Dollar und erhielt erst dann einen funktionierenden Entschlüsselungscode.

Eine Ransomware-Attacke auf den australischen Getränkekonzern Lion verzögerte sowohl in Australien als auch in Neuseeland zum einen den Ablauf im operativen Geschäft, limitierte aber zugleich auch die Transparenz und Nachverfolgbarkeit innerhalb der Produktion drastisch. In Medienberichten wurde spekuliert, dass dies womöglich ein gezielter Angriff eines Konkurrenten war.

Das weltweit tätige Logistik-Unternehmen Toll Group mit Sitz in Australien war gleich zwei Ransomware-Angriffen in nur sechs Monaten ausgesetzt. Beim ersten Angriff auf den Logistiker wurde die Ransomware MailTo (Netwalker) eingesetzt, bei der zweiten Attacke nutzten die Kriminellen Nefilim. Die Attacken beinhalteten einen massiven Datendiebstahl, der auch Finanzdaten und Rechnungen betraf, und sorgten für monatelange Unterbrechungen im operativen Geschäft. Hatte das Unternehmen anfänglich noch Lösegeldzahlungen abgelehnt, bezeugt die Veröffentlichung von gestohlenen Daten im Dark Web den Einsatz von Daten-Exfiltration.

Bevor eine internationale Taskforce aus Strafverfolgungs- und Justizbehörden im Januar 2021 das Emotet-Botnet zerschlug, feierte der Erpressungstrojaner im Jahr 2020 sein Comeback mit zahlreichen neuen Angriffen in verschiedenen Ländern. In Frankreich infizierte der Trojaner beispielsweise die PCs im Netzwerk des Pariser Justizsystems. Als Reaktion darauf blockierte das französische Innenministerium damals die Zustellung aller Office-Dokumente (.doc) per Mail.

Gegen diese aggressiven Formen von Ransomware-Angriffen sind konventionelle Cybersecurity-Maßnahmen oft machtlos. Haben Angreifer erst einmal Zugriff auf die Systeme und Daten verschlüsselt, leidet das operative Geschäft durch den Ausfall und Folgeschäden sind unausweichlich. Es gilt, Angreifer gar nicht erst so weit kommen zu lassen - die Etablierung eines umfassenden Zero-Trust-Modells schützt Unternehmen auch gegen künftige Entwicklungen von Ransomware und Daten-Exfiltration. (hi)