Cyberkriminelle werden immer aggressiver in ihrem Bemühen, die Störung zu maximieren und die Zahlung von Lösegeldforderungen zu erzwingen, und es kommt eine neue Erpressungstaktik zum Einsatz.
Anfang November versuchte die berüchtigte Ransomware-Bande ALPHV, auch bekannt als BlackCat, eine einzigartige Erpressungstaktik: Sie nutzte die neuen Regeln der US-Regierung zur Offenlegung von Datenschutzverletzungen als Waffe gegen eines der Opfer der Bande. ALPHV reichte eine Beschwerde bei der US-Börsenaufsicht SEC (Securities and Exchange Commission) ein und behauptete, dass der digitale Kreditanbieter MeridianLink es versäumt habe, etwas offenzulegen, was die Cyberkriminelle als „erheblichen Verstoß, der Kundendaten und Sicherheit gefährdet“, bezeichnete Die Band nahm den Kredit entgegen.
„Wir möchten Sie auf ein besorgniserregendes Problem hinsichtlich der Einhaltung der kürzlich verabschiedeten Regeln zur Offenlegung von Cybersicherheitsvorfällen durch MeridianLink aufmerksam machen“, schrieb ALPHV. „Uns ist bekannt geworden, dass MeridianLink die gemäß Punkt 1.05 des Formulars 8-K erforderliche Offenlegung nicht innerhalb der vorgeschriebenen vier Geschäftstage eingereicht hat, wie es die neuen SEC-Regeln erfordern.“
Die jüngste Erpressungsaktion von ALPHV ist das erste Beispiel dafür, was nach Inkrafttreten der Regeln in den kommenden Monaten erwartet wird. Dies ist zwar neuartig, aber nicht die einzige aggressive Taktik, die von Ransomware- und Erpresserbanden eingesetzt wird.
Hacker, die typischerweise für den Einsatz von Ransomware bekannt sind, greifen zunehmend auf Taktiken der „doppelten Erpressung“ zurück, bei denen Banden nicht nur die Daten des Opfers verschlüsseln, sondern auch damit drohen, die gestohlenen Dateien freizugeben, sofern keine Gebühr gezahlt wird. Rettung. Manche gehen noch weiter mit „dreifach „Erpressungsangriffe“, bei denen Hacker, wie der Name schon sagt, einen dreigleisigen Ansatz verfolgen, um ihre Opfer zu erpressen, indem sie Drohungen und Lösegeldforderungen auf Kunden, Lieferanten und Mitarbeiter des ursprünglichen Opfers ausweiten. Diese Taktiken wurden von den Hackern hinter den massiven, mächtigen Angriffen auf MOVEit eingesetzt, die eine wichtige Entwicklung im Trend zu Erpressungsversuchen ohne Verschlüsselung darstellen.
Auch wenn mehrdeutige Definitionen nicht das größte Cybersicherheitsproblem zu sein scheinen, mit dem Unternehmen heute konfrontiert sind, ist die Unterscheidung zwischen Ransomware und Erpressung wichtig, insbesondere da die Abwehr dieser beiden Arten von Cyberangriffen sehr unterschiedlich sein kann. Die Unterscheidung hilft politischen Entscheidungsträgern auch zu erkennen, wo Ransomware im Trend liegt und ob Anti-Ransomware-Richtlinien funktionieren.
Was ist der Unterschied zwischen Ransomware und Erpressung?
Die Ransomware-Task Force beschreiben Ransomware als „eine sich weiterentwickelnde Form der Cyberkriminalität, durch die Kriminelle aus der Ferne Computersysteme kompromittieren und ein Lösegeld als Gegenleistung für die Wiederherstellung und/oder Nichtoffenlegung von Daten verlangen.“
Tatsächlich können Ransomware-Angriffe vielfältige Auswirkungen haben. Die Ransomware-Experten Allan Liska, Threat Intelligence Analyst bei Recorded Future, und Brett Callow, Threat Analyst bei Emsisoft, teilten in einer Analyse mit, dass diese weit gefasste Definition von Ransomware auf beide „Betrügereien“ anwendbar ist: Wir laden den Inhalt ihrer Instanz Elasticsearch mit 50 US-Dollar herunter Angriffe“ bis hin zu „störenden, auf Verschlüsselung basierenden Angriffen, die das Leben von Krankenhäusern bedrohen“.
„Offensichtlich handelt es sich jedoch um sehr unterschiedliche Tiere“, sagten Liska und Callow. „Der eine ist ein opportunistischer Pirat, der Ihre Amazon-Lieferung stiehlt, während der andere ein Team gewalttätiger Krimineller ist, die in Ihr Haus einbrechen und Ihre Familie terrorisieren, bevor sie Ihnen Ihr gesamtes Hab und Gut wegnehmen.“
Forscher sagen, dass es Ähnlichkeiten zwischen „Verschlüsselungs- und Erpressungs“-Angriffen und „Nur-Erpressungs-Angriffen“ gibt, beispielsweise dass sie sich auf Mittelsmänner verlassen, die Zugang zu gehackten Netzwerken verkaufen. Es gibt jedoch auch wichtige Unterschiede zwischen den beiden, insbesondere bei den Kunden, Lieferanten und Kunden des Opfers, deren eigene sensible Daten bei rein erpressenden Angriffen erfasst werden können.
„Wir sehen, dass dies immer wieder passiert, wenn ein Bedrohungsakteur das klassifiziert gestohlene Daten versucht, die größte oder bekannteste Organisation zu finden, die es finden kann, und behauptet, diese Organisation erfolgreich angegriffen zu haben. „Das ist keine neue Taktik“, sagten Liska und Callow und führten ein Beispiel an, wie eine Ransomware-Bande behauptete, sie hätte einen großen Technologieriesen gehackt, obwohl sie in Wirklichkeit Daten von einem seiner weniger bekannten Technologieanbieter gestohlen hatte.
„Es ist eine Sache, einen Angreifer daran zu hindern, Dateien in Ihrem Netzwerk zu verschlüsseln, aber wie schützen Sie Ihre gesamte Datenlieferkette?“ sagten Liska und Callow. „Tatsächlich denken viele Unternehmen nicht über ihre Datenlieferkette nach … aber jeder Punkt in dieser Lieferkette ist anfällig für Datendiebstahl und Erpressungsangriffe.“
Es bedarf einer besseren Definition von Ransomware
Während die Behörden gehackten Organisationen seit langem davon abhalten, Lösegeldforderungen zu zahlen, ist es für Unternehmen, die von Hackern betroffen sind, nicht immer eine leichte Entscheidung.
Bei Verschlüsselungs- und Erpressungsangriffen haben Unternehmen die Möglichkeit, das Lösegeld zu zahlen, um einen Schlüssel zu erhalten, der sie entschlüsselt Ihre Dateien. Wenn Sie jedoch Hacker bezahlen, die aggressive Erpressungstaktiken anwenden, um Ihre gestohlenen Dateien zu löschen, gibt es keine Garantie dafür, dass die Hacker dies tatsächlich tun.
Dies wurde beim jüngsten Ransomware-Angriff auf Caesars Entertainment gezeigt, bei dem Hacker Geld bezahlten, um die Offenlegung gestohlener Daten zu verhindern. Nach eigenen Angaben teilte Caesars den Aufsichtsbehörden mit, dass „wir Schritte unternommen haben, um sicherzustellen, dass der nicht autorisierte Akteur die gestohlenen Daten löscht, obwohl wir dieses Ergebnis nicht garantieren können.“
„Tatsächlich sollte davon ausgegangen werden, dass dies nicht der Fall sein wird“, sagten Liska und Callow und verwiesen auf Behauptungen, dass Hacker gestohlene Daten löschen würden.
„Eine bessere Definition von Ransomware, die die Unterscheidung zwischen verschiedenen Arten von Angriffen berücksichtigt, wird es Unternehmen ermöglichen, jede Art von Ransomware-Angriff besser zu planen und darauf zu reagieren, unabhängig davon, ob er innerhalb ihres eigenen Netzwerks oder dem eines Dritten stattfindet“, Liska und Callow Kommentar.
