Dreifache Erpressung durch Ransomware

Neuer Cybercrime-Trend nimmt Kunden ins Visier

Von in IT-Sicherheit
16
Jun
'21

Die doppelte Erpressung bei Cyberattacken ist hinlänglich bekannt. Unternehmen werden dabei nach einem Ransomware-Angriff nicht nur durch die Verschlüsselung ihrer Daten erpresst, sondern zusätzlich durch die Androhung eines Datenleaks. Jetzt fügt die dreifache Erpressung noch eine weitere Bedrohung hinzu.  

Wir erklären, was es mit der Dreifach-Erpressung auf sich hat und wie sich Unternehmen schützen.

Ein Mann sitzt gequält vor dem Laptop; die dreifache Erpressung hat sein Unternehmen ereilt. Bild: Pexels/Andrea Piacquadio

Cyberkriminelle haben eine neue Masche, mit der sie Unternehmen Kopfzerbrechen bereiten. die dreifache Erpressung. Bild: Pexels/Andrea Piacquadio

Cyberkriminelle mit neuen Maschen

Die Zahlen sind besorgniserregend: Die Anzahl von Ransomware-Attacken ist im ersten Quartal 2021 um 57 Prozent gestiegen; doppelt so viele Unternehmen und Organisationen wie im Vorjahreszeitraum sind im ersten Halbjahr 2021 einem solchen Angriff zum Opfer gefallen; mit 1.000 von Ransomware betroffenen Unternehmen und Organisationen pro Woche ist ein neuer Höchststand erreicht. Zu den besonders gebeutelten Branchen gehören dabei das Gesundheitswesen, der Versorgungssektor und der Bereich Versicherungen/Recht.

Der aktuelle Bericht der Sicherheitsforscher von Check Point Research nimmt das weltweite Cybercrime-Geschehen in den Blick – und deshalb gibt es bei diesen schlechten Nachrichten auch ein kleines Trostpflaster: Unternehmen und Organisationen in Deutschland scheinen derzeit nicht so sehr im Fokus der Cyberkriminellen zu sein. Stattdessen stehen offenbar Indien, Argentinien, Chile, Frankreich und Taiwan aktuell besonders hoch im Kurs.

Nichtsdestotrotz ist auch für Unternehmen in Deutschland äußerste Vorsicht geboten. Denn: Cyberkriminelle haben eine neue Masche für ihre Machenschaften entdeckt: Durch die dreifache Erpressung wollen sie den Druck auf Unternehmen nach einem Ransomware-Befall zusätzlich erhöhen.

Doppelte Erpressung ist Erfolgskonzept

Was ist die dreifache Erpressung denn nun wieder, mögen Sie sich an dieser Stelle vielleicht fragen. Im Jahr 2020 hat sich die doppelte Erpressung für Cyberkriminelle als besonders lukrativ und damit als Mittel der Wahl herauskristallisiert. Doppelte Erpressung meint: Nachdem Ransomware in ein Unternehmensnetzwerk eingeschleust werden konnte, schaffen die Hinterleute mit der Verschlüsselung der Daten einen ersten und mit der Androhung einer Veröffentlichung dieser Daten einen zweiten Hebel für ihre Lösegeldforderungen.

Diese Taktik hat sich offenbar als ein Erfolgskonzept herausgestellt. So ist die durchschnittliche Lösegeldzahlung im Jahr 2020 um 171 % gestiegen – und zwar auf etwa 310.000 US-Dollar. Trotzdem gibt es immer noch genügend Unternehmen, die nach der Empfehlung offizieller Behörden handeln, eine Lösegeldforderung ausschlagen und einen Datenverlust in Kauf nehmen, sofern kein ausreichendes Backup-Management existiert.

Um ihre Erfolgsstatistik und Effizienz noch etwas aufzupolieren, scheinen die Cyberkriminellen ihr Konzept inzwischen noch einmal weitergedacht zu haben. Das Ergebnis: die dreifache Erpressung.

Was ist die dreifachen Erpressung?

Die dreifache Erpressung ist eine Weiterentwicklung der doppelten Erpressung und setzt dabei auf die folgenden drei Schritte:

  1. Nach dem Einschleusen von Ransomware werden Unternehmensdaten unbemerkt kopiert und auf die Server der Kriminellen weitergeleitet. Der Datendiebstahl erfolgt meist unbemerkt. Danach folgt die Verschlüsselung der Daten. Mit der Angst vor einem Datenverlust ist der erste Hebel gesetzt.
  2.  Zu diesem Zeitpunkt stellen die Hinterleute eine Lösegeldforderung, als Gegenleistung bieten sie die Entschlüsselung der Daten. Sie verleihen ihrer Forderung Nachdruck, indem sie mit einer Veröffentlichung der gestohlenen Daten drohen – und damit den zweiten Hebel setzen.
  3. NEU: Jetzt werden auch Lösegeldforderungen an Kunden, Geschäftspartner, Lieferanten und Patienten gerichtet; die Kontaktdaten dafür ziehen die Kriminellen aus den gestohlen Daten.

Mit diesem dritten Hebel wollen die Cybercrime-Akteure unwilligen Unternehmen nun also endgültig an den Kragen: Der drohende Image-Verlust soll dafür sorgen, dass sie das Lösegeld innerhalb der gesetzten Frist zahlen.

Dreifache Erpressung: finnische Klinik ist erstes Opfer

Das erste promintente Opfer dieser neuen Angriffskette war nach Angaben von Check Point Research die Vastaamo-Klinik, eine finnische Einrichtung mit 40.000 Patienten, die auf Psychotherapie spezialisiert ist. Im Zuge einer erfolgreichen Ransomware-Attacke konnten die Angreifer umfangreiche Patientendaten abgreifen.

Nicht nur die Klinik erhielt daraufhin eine Lösegeldforderung; kleinere Summen wurden auch von den Patienten selbst verlangt. In E-Mails erhielten die Patienten die Drohung, dass die Sitzungsnotizen ihrer Therapeuten veröffentlich würden, sofern das Lösegeld nicht gezahlt würde.

Es zeichnet sich schon jetzt ab, dass sich die Dreifach-Erpressung etablieren könnte. Check Point Research konnte bereits beobachten, dass einige Hackergruppen als Sahnehäubchen zu ihrem Ransomware-as-a-Service-Geschäft inzwischen DDoS-Attacken und VoIP-Anrufe an Journalisten und Kollegen in ihrem Portfolio anbieten.

Druck auf Unternehmen steigt

Fakt ist: Unternehmen haben angesichts der dreifachen Erpressung noch einmal mehr zu verlieren. Datenschutzbehörden werden sicherlich keine Milde walten lassen, wenn Drittopfer außerhalb des eigentlich betroffenen Netzwerks auf diese Weise geschädigt werden. Zusätzlich zu den finanziellen Verlusten durch die Verschlüsselung der eigenen Unternehmensdaten, durch etwaige Lösegeldzahlungen und durch die Wiederherstellung der Geschäftsprozesse drohen daher auch Strafzahlungen.

Nicht zu vergessen ist der gewaltige Image-Verlust, der sich erst gar nicht bemessen lässt. Dass Vertrauen von Kunden und Geschäftspartnern wird auf jeden Fall darunter leiden, wenn sie im Zuge der dreifachen Erpressung zu Drittopfern werden. Unternehmen sollten daher alles daran setzen, dass es nicht zu einem solchen Vorfall kommt.

Dreifache Erpressung: So schützen sich Unternehmen

Sie fragen sich an dieser Stelle, wie Sie das in Ihrem Unternehmen am besten umsetzen? Auch hierzu haben die Experten von Check Point aus ihren jüngsten Beobachtungen Erkenntnisse gezogen. Diese Tipps fassen wir zusammen:

  1. Auch an freien Tagen ist Vorsicht geboten!
    Im vergangenen Jahr erfolgten die meisten Ransomware-Angriffe am Wochenende und an Feiertagen. Die Cyberkriminellen setzen darauf, dass die Adressaten ihrer Malware-Kampagnen dann weniger wachsam sind.
  2. Spielen Sie Patches sofort aus!
    Sobald Hersteller ein Sicherheitsupdate ausspielen, ist die Lücke offiziell bekannt. Cyberkriminelle stürzen sich direkt darauf und fahren ihre Attacken hoch. Unternehmen tun also gut daran, Sicherheitspatches direkt nach ihrem Erscheinen auf alle Geräte auszuspielen. Unser Extra-Tipp: Mit einem effizienten Patch-Management funktioniert das ganz automatisch.
  3. Schulen Sie die Security Awareness!
    Ein Großteil der Cyberangriffe 2020 und im ersten Halbjahr 2021 begann mit einer Phishing-E-Mail an Mitarbeiter von Unternehmen. Oft enthielt die E-Mail selbst keine Malware, sondern verleitete den Empfänger über Social-Engineering-Techniken dazu, auf einen bösartigen Link zu klicken. Der Schulung der Security Awareness aller Mitarbeiter kommt daher eine Schlüsselrolle beim Schutz vor Ransomware zu.
  4. Nutzen Sie eine Anti-Ransomware-Lösung!
    Gezielte Spear-Phishing-E-Mails können die sorgfältigsten Mitarbeiter austricksen und dazu führen, dass Ransomware Zugriff auf die internen Systeme eines Unternehmens erhält. Spezielle Anti-Ransomware-Lösungen erkennen durch Ransomware ausgelöste Anomalien. Sie überwachen Computer auf verdächtige Verhaltensweisen und leiten bei Auffälligkeiten sofort Maßnahmen ein, um die Verschlüsselung zu stoppen.
  5. Beobachten Sie Ihr Netzwerk!
    In der Regel beginnt die (dreifache) Erpressung nicht unmittelbar. Zuerst wird häufig Malware wie Trickbot, Emotet, Dridex oder CobaltStrik eingeschleust, die dann wiederum Ryuk und anderer Ransomware Tür und Tor öffnet. Unternehmen sollten ihr Netzwerk daher regelmäßig auf Infektionen überprüfen und Malware mit Hilfe von Threat-Hunting-Lösungen entfernen.

Mit diesen Tipps sichern sich Unternehmen einigermaßen ab. Grundsätzlich gilt aber: Es braucht eine umfassende, lückenlose IT-Sicherheitsstrategie, um den Bedrohungen durch Cybercrime zu begegnen.

Experten sichern Unternehmen ab

Zum Schluss noch eine gute Nachricht: Sie stehen vor der Herausforderung, Ihr Unternehmen vor Ransomware im Allgemeinen und der dreifachen Erpressung im Besonderen zu schützen, nicht allein. Fachleute für IT-Sicherheit stehen Unternehmenskunden gern zur Seite – und das sogar dauerhaft.

Die Experten aus dem IT-SERVICE.NETWORK beispielsweise erarbeiten auf Wunsch ein wasserdichtes IT-Sicherheitskonzept für Ihr Unternehmen. Bausteine sind darin häufig die Untersuchung Ihres Netzwerks auf Schwachstellen mit einem IT-Sicherheitscheck, die Implementierung effizienter Sicherheitslösungen, ein regelmäßiges Patch-Management und sogar die Schulung Ihrer Mitarbeiter zur Security Awareness. Es gibt aber noch weitere Bausteine, von denen Ihnen unsere Fachleute gern in einem persönlichen Gespräch berichten.

Das ist genau das, was Sie für Ihr Unternehmen brauchen? Dann nehmen Sie am besten direkt Kontakt auf und vereinbaren mit unserem IT-Partner in Ihrer Nähe einen Termin für ein erstes unverbindliches Gespräch. Wir freuen uns auf Ihre Anfrage!


Weiterführende Links:
Check Point, Bleeping Computer

Janina Kröger

Seit Anfang 2019 ist Janina Kröger für den Blog des IT-SERVICE.NETWORK verantwortlich. Neue IT-Trends? Wichtige Business-News? Die studierte Germanistin und ausgebildete Redakteurin behält nicht nur das Geschehen auf dem IT-Markt im Blick, sondern versteht es zudem, das IT-Wissen des IT-SERVICE.NETWORK verständlich aufzubereiten.

Fragen zum Artikel? Frag den Autor

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.