Kaspersky über Ransomware 2.0
Informations-Veröffentlichung statt Datenverschlüsselung
Aktuelle Ransomware-Angriffe zeigen, dass Cyberkriminelle ihre Strategie ändern. Sie gehen weg von einer reinen Verschlüsselung hin zu zielgerichteten Attacken mit der Drohung, vertrauliche Daten zu veröffentlichen, sollte das Unternehmen das geforderte Lösegeld nicht zahlen. Zu diesem Schluss kommen die Experten von Kaspersky durch die Analyse der beiden Ransomware-Familien Ragnar Locker und Egregor.
Kompromittierungen mit Lösegeldforderungen, so genannte Ransomware-Angriffe, gehören landläufig zu den ernstzunehmenderen Angriffsszenarien . Sie können nicht nur kritische Geschäftsabläufe stören, sondern auch zu massiven finanziellen Verlusten, in einigen Fällen sogar zum Bankrott der betroffenen Organisation durch Strafzahlungen und rechtliche Klagen führen. So haben Angriffe wie beispielsweise die durch WannaCry schätzungsweise mehr als 4 Milliarden Dollar an finanziellen Verlusten verursacht. Neuere Ransomware-Kampagnen ändern jedoch ihren Modus Operandi: Sie drohen damit, gestohlene Firmeninformationen an die Öffentlichkeit zu bringen. Zwei bekannte Vertreter dieser neuen Art von Ransomware sind Ragnar Locker und Egregor.
Ragnar Locker wurde im Jahr 2019 entdeckt, erreichte aber erst in der ersten Hälfte des Jahres 2020 Bekanntheit, als ein Angriff auf große Unternehmen erfolgte. Die Attacken sind sehr zielgerichtet, wobei jede schädliche Aktivität auf das beabsichtigte Opfer zugeschnitten ist. Dabei werden vertrauliche Informationen der Unternehmen, die sich weigern zu zahlen, auf der "Wall of Shame"-Seite der Cyberkriminellen veröffentlicht. Wenn das Opfer mit den Angreifern kommuniziert und sich dann weigert zu zahlen, wird dieser Chat ebenfalls veröffentlicht. Die Hauptziele sind Unternehmen in den USA aus verschiedenen Branchen. Im vergangenen Juli gab Ragnar Locker bekannt, dem Maze-Ransomware-Kartell [5] beigetreten zu sein. Dies bedeutet, dass es seitdem zu einem Austausch gestohlener Informationen und einer konkreten Zusammenarbeit zwischen beiden gekommen ist. Maze hat sich 2020 zu einer der bekanntesten Ransomware-Familien entwickelt.
Egregor wurde erstmals im vergangenen September entdeckt. Die Malware verwendet viele identische Taktiken und teilt zudem Code-Ähnlichkeiten mit Maze. Die Implementierung verläuft in der Regel durch einen Einbruch in das Netzwerk. Sobald die Daten des Zielunternehmens herausgefiltert sind, bekommt das Opfer 72 Stunden Zeit, um das Lösegeld zu zahlen, bevor die Cyberkriminellen die gestohlenen Informationen veröffentlichen. Wenn die betroffene Organisation die Zahlung verweigert, veröffentlichen die Angreifer den Namen und Links zum Download der vertraulichen Unternehmensdaten auf ihrer Leak-Seite.
Der Angriffsradius von Egregor ist dabei wesentlich größer als von Ragnar Locker. Die hinter dieser Ransomware stehenden Cyberkriminellen haben Opfer in ganz Nordamerika, Europa und Teilen der APAC-Region ins Visier genommen.
- Informations-Veröffentlichung statt Datenverschlüsselung
- Kaspersky-Tipps
Lesen Sie mehr zum Thema
