Ransomware-Strategien

Wie Sie mit Cybererpressern verhandeln

17.02.2021
Von 
Lucian Constantin arbeitet als Korrespondent für den IDG News Service.
Die Angriffe mit Ransomware häufen sich. Das sollten Sie wissen, wenn Sie mit Cyberkriminellen verhandeln wollen.
Ransomware - was tun? Wir haben Experten gefragt, was bei der Verhandlung mit Cyberkriminellen zu beachten ist.
Ransomware - was tun? Wir haben Experten gefragt, was bei der Verhandlung mit Cyberkriminellen zu beachten ist.
Foto: ViDI Studio - shutterstock.com

Ransomware bleibt die schlimmste Malware-Bedrohung für Unternehmen, ein Ende ist nicht abzusehen. Im Gegenteil, das Geschäft mit Erpressungstrojanern ist für die Cyberkriminellen viel zu einträglich. Die geforderten Lösegelder lagen anfangs noch bei einigen tausend Dollar, inzwischen werden Millionenbeträge gefordert - weil die Angreifer genau wissen, dass viele Unternehmen bereit sind, solche Lösegelder zu bezahlen. Dabei spielen viele Faktoren und Parteien eine Rolle - vom CIO und anderen Mitgliedern des Managements über externe Berater, bis hin zu involvierten Cyberversicherern.

Der steigende Druck, Ransomware-Lösegelder zu bezahlen, hat einen Markt für selbständige Berater und Unternehmen geschaffen, die sich auf die Verhandlungsführung bei Angriffen mit Erpressungstrojanern und die Zahlung von Lösegeldern spezialisiert haben. Wir haben mit einigen Experten gesprochen, die wissen, wie man Verhandlungen mit Cyberkriminellen führen sollte und was dabei zu beachten ist.

Wenn Ransomware einschlägt

Im Idealfall setzt ein Angriff mit Ransomware einen wohl durchdachten Disaster-Recovery-Plan in Gang. Unglücklicherweise führen Angriffe mit Erpressungstrojanern dennoch regelmäßig in vielen Unternehmen zum Erfolg. Selbst in Großunternehmen mit eigenem Incident-Response-Team fielen regelmäßig wichtige Aspekte bei der Reaktion auf Ransomware-Angriffe unter den Tisch, weiß Kurtis Minder, CEO beim Ransomware-Spezialisten GroupSense. "Einige Details wie etwa die Kommunikation mit Kunden und Regulatoren gehören selbst im Enterprise-Umfeld nicht immer zum Incident-Response-Plan. Geht es dann um die Verhandlung über die Entschlüsselung der Daten, wird in vielen Fällen nichts dokumentiert. Oft gibt es auch keinen Kommunikationsplan für die PR-Abteilung. Das ist - unglücklicherweise - die Realität unserer Kunden."

Auch Unternehmen mit gut ausgestalteten IR-Plänen und entsprechenden Prozessen seien nicht gefeit vor der Panik, die im Ernstfall um sich greift, meint Ian Schenkel, Vice President EMEA beim Security-Anbieter Flashpoint. "Wir haben es regelmäßig nicht nur mit Ransomware zu tun, die Dateien oder ganze Netzwerke verschlüsselt. Der neueste Trend besteht darin, die Unternehmen zur Zahlung zu bewegen, indem gedroht wird, sensible Daten im Internet zu veröffentlichen."

Weil mehr und mehr Hackergruppen auf diese "Double Extortion"-Taktik setzen, werden Ransomware-Angriffe immer mehr auch zu "Data Breaches", die wiederum diverse regulatorische Folgen nach sich ziehen können - je nach Unternehmensstandort und Klassifizierung der entwendeten Daten.

Wenn ein Ransomware-Angriff eintritt, sollten Sie zwei Maßnahmen möglichst sofort in Angriff nehmen:

  1. Finden Sie heraus, wie die Angreifer eingedrungen sind, stopfen Sie das Loch und verbannen Sie die Cyberkriminellen aus dem Netzwerk.

  2. Ermitteln Sie, mit welcher Ransomware-Variante Sie es zu tun haben, und überprüfen Sie die "Glaubwürdigkeit" der Cyberkriminellen, die hinter der Malware stehen - insbesondere dann, wenn mit "Double Extortion" gedroht wird.

Während Ersteres in den Aufgabenbereich des Incident-Response-Team fällt, könnte für Punkt zwei auch ein externer Partner zum Einsatz kommen. Wer dafür in Frage kommt, sollten Sie am besten im Vorfeld abklären - viele Unternehmen verlieren gerade in der Frühphase eines Ransomware-Angriffs zu viel Zeit durch Untätigkeit.

Nach Auskunft der international tätigen Anwaltskanzlei Orrick wird in 75 Prozent aller Fälle zunächst ein externer Anwalt hinzugezogen, der den Reaktionsprozess einleitet und dabei folgende Maßnahmen veranlasst:

  • Strafverfolgungsbehörden unterrichten;

  • IT-Forensik engagieren;

  • internes Briefing mit dem Führungsstab des Unternehmens einberufen;

  • Mitteilungen für die externe Kommunikation aufsetzen;

  • mit der Cyberversicherung des geschädigten Unternehmens in Kontakt treten und eine entsprechende Kostenübernahme für alle Maßnahmen (inklusive der Lösegeldzahlung, falls das gewünscht wird) abklären.

Problembehaftete Lösegeldzahlungen

Gerade die Kommunikation mit der Cyberversicherung sollte so früh wie möglich aufgenommen werden. Je nach gewählter Police hat die Versicherung eventuell ein Mitspracherecht, wenn es um die Einbeziehung externer Parteien, etwa Security-Anbietern, geht. Die Entscheidung über eine Zahlung von Lösegeld werde hingegen im Regelfall von den Unternehmen alleine getroffen und im Nachgang bei der Cyberversicherung eingereicht, in der Hoffnung, diese springt ein. An der Entscheidung darüber, ob gezahlt werde oder nicht, seien im Regelfall das Anwaltsteam des Unternehmens, der CEO, der CIO und der COO beteiligt.

Bevor eine Ransomware-Lösegeldzahlung vom Versicherer durchgewunken wird, kommen eine Fragen auf das Unternehmen zu - beispielsweise zum Status von (Offsite-) Backups, wie viele Systeme betroffen waren und wie lang es gedauert hat, diese zurückzusetzen. Eine Cyberversicherung kann auch versuchen, die Täter hinter dem Angriff zu identifizieren - und eine Zahlung verweigern. In den USA etwa schließen manche Cyberversicherer die Kostenübernahme für Angriffe durch Hackergruppierungen, die auf der schwarzen Liste der Homeland Security stehen, in ihren Geschäftsbedingungen aus.

Das Lösegeld selbst wird in Kryptowährung bezahlt - was nicht unbedingt zum Standard im Unternehmensumfeld gehört. Auch für diese Aufgabe stehen Dienstleister zur Verfügung - in der Regel dieselben, die auch die Verhandlungsführung für ihre Kunden übernehmen.

Verhandeln mit Cybererpressern

Bevor Sie mit den Kriminellen hinter der Ransomware in Kontakt treten (für gewöhnlich über einen verschlüsselten E-Mail-Dienst), sollte das Incident-Response-Team sicherstellen, dass der Angriff isoliert ist und sich die Angreifer nicht mehr im Netzwerk befinden, empfiehlt GroupSense-CEO Minder: "Haben die Angreifer immer noch Zugriff auf das Netzwerk, ist das ein hervorragendes Druckmittel. Wir arbeiten deshalb bei unseren Kunden von Anfang an eng mit dem Incident-Response-Team zusammen."

Im zweiten Schritt komme es dann darauf an, mit dem IR-Team so viele Informationen über die Attacke wie nur möglich zusammenzutragen, zum Beispiel dazu, welche Daten kompromittiert wurden, wer hinter dem Angriff steht und wie deren Attacken in der Vergangenheit abgelaufen sind. Diese Informationen bestimmten laut Minder darüber, welche Herangehensweise er und seine Kollegen bei der Verhandlungsführung mit den Cyberkriminellen wählen: "Wenn die Hacker 30 oder 40 Unternehmen angegriffen haben, sind sie unter Umständen weit weniger geduldig, weil es für sie viele andere Optionen gibt", so der Ransomware-Spezialist.

Viele Hackergruppen passen ihre Lösegeldforderungen inzwischen an die Profile ihrer Opfer an - bei Unternehmen häufig ein Prozentsatz der jährlichen Einnahmen. Dabei recherchieren die Kriminellen allerdings nicht immer sauber. Konkreter Teil der Verhandlungen könne deshalb auch sein, die Angreifer über die finanzielle Situation des Unternehmens aufzuklären - falls diese zuvor falsch eingeschätzt wurde, erklärt Minder. "Dabei sollten Emotionen stets außen vorbleiben - der Vorfall muss objektiv, wie eine reine Business-Transaktion, behandelt werden. Viele Betroffene, die auf eigene Faust verhandeln, bekommen das nicht auf die Reihe."

In einigen Fällen gelingt es Betroffenen, ihre Daten mithilfe von Backups wiederherzustellen. Das könne in der Verhandlung als Druckmittel genutzt werden, meint Minder. Trotz vorhandenem Backup kann es bei der Wiederherstellung von Systemen zu Problemen kommen, weil Applikationen und Software-Stacks nicht mehr auf dem aktuellen Stand sind. Eine regelmäßig Überprüfung des Wiederherstellungsprozesses sowie die Anfertigung von System-Images ist deshalb genauso zu empfehlen wie Detection-Möglichkeiten und entsprechende Endpoint-Lösungen zu empfehlen.

Sowohl Minder als auch Flashpoint-Mann Schenkel zufolge sind Ransomware-Gruppierungen generell offen für Verhandlungen. Im Regelfall bleibe vom ursprünglichen geforderten Betrag nur ein kleiner Prozentsatz übrig, der bezahlt werde. Das liegt auch daran, dass die Angreifer selbst unter Zeitdruck stehen: Je länger sich die Verhandlungen hinziehen, desto mehr Zeit haben Betroffene, um ihre Systeme zurückzusetzen. "Statistiken zufolge werden nur zwischen 25 und 30 Prozent der Lösegelder bezahlt. Das wissen auch die Cyberkriminellen", so Schenkel.

Bevor eine Zahlung erfolgt, müssen Angreifer jedoch beweisen, dass sie tatsächlich in der Lage sind, Dateien zu entschlüsseln. Das erfolgt im Regelfall anhand eines Testdatensatzes, schließt jedoch nicht alle Risiken aus. Das Entschlüsselungs-Tool kann fehlerbehaftet oder Daten beschädigt worden sein. Den Experten sind auch Situationen bekannt, in denen verschiedene Schlüssel für verschiedene Systeme verwendet wurden. Deshalb ist es auch so wichtig, das gesamte Ausmaß eines Ransomware-Angriffs mit den Mitteln der IT-Forensik zu verstehen - und das bereits bevor die Verhandlungen beginnen.

Sind die Verhandlungen abgeschlossen und die Zahlung erfolgt, wird die gesamte Dokumentation inklusive aller Informationen zu den Cyberkriminellen und zur Transaktion des Lösegelds dem Kunden übergeben.

Anschlussgefahren und Recovery

Wenn Sie zum Opfer der "Double Extortion"-Methode werden, gestaltet sich die Sache ein wenig komplexer. Schließlich gibt es keinen Weg herauszufinden, ob die Kriminellen die Daten tatsächlich vernichtet haben. Der Security-Anbieter Coveware - ebenfalls Spezialist für Ransomware - berichtete im vergangenen Jahr von zahlreichen Fällen, in denen Opfer mehrmals mit den gleichen Daten erpresst wurden - die anschließend dennoch online veröffentlicht wurden.

Da diese Vorgehensweise sich unter Cyberkriminellen steigender Beliebtheit erfreut, müssen sich Unternehmen darauf einstellen. Maßnahmen wie das Monitoring von Darkweb und Untergrund-Marktplätzen können wirksame Präventivmaßnahmen darstellen, um großangelegten Cyberangriffen zuvorzukommen. (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.