Ransomware: Mehr Angriffe, höhere Lösegeldsummen
Ransomware wird zugänglicher
Auch das fanden die Security-Forscher: Ransomware ist immer leichter zu bekommen und mittlerweile in vielen Formaten verfügbar, die auf verschiedene Plattformen abzielen. Aber die Angriffe werden auch gezielter: So haben die Experten eine Verschiebung von hochvolumigen und Spray-and-Pray-Modellen hin zu einem fokussierteren «Stay and Play»-Modell beobachtet, bei dem sich die Betreiber Zeit nehmen, um die Opfer und ihre Netzwerke kennenzulernen, und einem traditionelleren Ansatz zur Netzwerkpenetration folgen.
Daneben wurde auch beobachtet, dass Erpressersoftware nicht nur auf Microsoft Windows, Apple macOS und mobilen Betriebssystemen, sondern jetzt auch auf Linux abzielt.
Daneben wurde auch beobachtet, dass Erpressersoftware nicht nur auf Microsoft Windows, Apple macOS und mobilen Betriebssystemen, sondern jetzt auch auf Linux abzielt.
Unterdessen braucht es auch kaum noch ausgefeiltes technisches Verständnis, um Ransomware einzusetzen. Denn Angriffe lassen sich ganz einfach mieten. Denn Angreifer wissen, dass Ransomware, insbesondere das auf Abonnements basierende Modell «Ransomware as a Service» (RaaS), einfach auszuführen, äusserst effektiv und potenziell profitabel ist – sowohl durch direkte Zahlungen als auch durch den Verkauf wertvoller Informationen.
Das RaaS-Modell ermöglicht es zudem sogenannten Affiliates, vorhandene Ransomware-Software zur Durchführung von Angriffen zu nutzen und so einen Anteil an jeder erfolgreichen Lösegeldzahlung zu verdienen.
Trend zur doppelten Erpressung
Ein üblicher Ransomware-Angriff besteht darin, dass der Ransomware-Betreiber Daten verschlüsselt und das Opfer zur Zahlung eines Lösegelds zwingt, um sie zu entsperren. Doch dies reicht vielen Cyberkriminellen nicht mehr. Sie wollen noch mehr absahnen und greifen daher zum Mittel der doppelten Erpressung.
Bei einer doppelten Erpressung verschlüsseln und stehlen die Ransomware-Betreiber Daten, um das Opfer weiter zu zwingen, ein Lösegeld zu zahlen. Wenn das Opfer das Lösegeld nicht zahlt, veröffentlichen die Ransomware-Betreiber die Daten auf einer Leak-Site oder einer Dark-Web-Domain, wobei die meisten Leak-Sites im Dark Web gehostet werden.
Bei einer doppelten Erpressung verschlüsseln und stehlen die Ransomware-Betreiber Daten, um das Opfer weiter zu zwingen, ein Lösegeld zu zahlen. Wenn das Opfer das Lösegeld nicht zahlt, veröffentlichen die Ransomware-Betreiber die Daten auf einer Leak-Site oder einer Dark-Web-Domain, wobei die meisten Leak-Sites im Dark Web gehostet werden.
Und das Vorgehen scheint Schule zu machen. Denn mindestens 16 verschiedene Ransomware-Varianten drohen unterdessen damit, Daten preiszugeben oder Leak-Sites zu nutzen, und weitere Varianten werden diesen Trend wahrscheinlich fortsetzen. Einige Ransomware-Betreiber beweisen ihr Wissen über die Netzwerkumgebung eines Opfers zusätzlich, indem sie die Daten in Form von Verzeichnissen oder Dateibäumen anzeigen.
Mehrere Ransomware-Familien, wie NetWalker, RagnarLocker, DoppelPaymer und viele andere, haben ihre Fähigkeit zur Exfiltration von Daten und zur Verwendung doppelter Erpressungstechniken gezeigt. Die Ransomware-Familie, die sich diese Taktik am häufigsten zunutze machte, war NetWalker. Von Januar 2020 bis Januar 2021 liess NetWalker Daten von 113 Opferorganisationen weltweit durchsickern und übertraf damit andere Ransomware-Familien bei weitem. RagnarLocker lag an zweiter Stelle und liess Daten von 26 Opfern weltweit durchsickern.
Kommentare
Es sind keine Kommentare vorhanden.
