Reine Erpressung
Zwei- bis dreifache Erpressung
Die doch wahrnehmbare IT-Security-Aufrüstung der Unternehmen hat mittlerweile aufseiten der Cyberkriminellen dazu geführt, dass einerseits die Erpressungsmethoden immer raffinierter und die Verarbeitungswege immer ausgefeilter werden. Andererseits nehmen Angriffe ab, bei denen «nur» Daten verschlüsselt werden. Ein Grund ist hier, dass dies den Angreifern je länger, je weniger gelingt. So zeigen Daten von Sophos, dass es den Hackern mittlerweile bei 54 Prozent der mit Ransomware angegriffenen Firmen auch gelingt, Daten zu verschlüsseln. 2020 lag diese «Erfolgsquote» gemäss Sophos noch bei 73 Prozent. Entsprechend passen die Cyberkriminellen ihre Strategie an. Denn die Zahl jener betroffenen Organisationen, die ohne Verschlüsselung der Unternehmensdaten erpresst werden, stieg gemäss Sophos von lediglich 3 Prozent im Jahr 2020 auf 7 Prozent im laufenden Jahr.
Tatsächlich beobachten IT-Security-Experten seit einiger Zeit, dass Ransomware-Angriffe abnehmen, bei denen nur Daten verschlüsselt werden. Vielmehr verschaffen sich die Cyberkriminellen ein weiteres «Pfand», um von den betroffenen Unternehmen Lösegeld zu fordern. So werden in vielen Fällen zuerst die Daten gestohlen, bevor sie verschlüsselt werden. Die Taktik dahinter: Zahlt das Opfer nicht für die Entschlüsselung der Daten, weil es zum Beispiel eine effiziente Wiederherstellungsstrategie implementiert hat, wird es damit erpresst, dass die zuvor gestohlenen, meist höchst sensiblen oder anderweitig wertvollen Daten veröffentlicht werden, falls kein Lösegeld fliesst. Diese «Doxing» genannte Methode (Verkürzung von «Double Extortion», was mit «doppelter Erpressung» übersetzt werden kann) hat mittlerweile grössere Verbreitung gefunden. So hatten gemäss den Statistiken von Check Point im letzten Jahr 40 Prozent der neu entdeckten Ransomware-Familien den Datenklau fest in ihren Angriffsprozess eingebaut.
“Wir hatten schon Fälle, in denen die Angreifer dem gehackten Zulieferer empfahlen, eine ‹Lösegeld-Sammelaktion› bei seinen Kunden zu starten„
Mathias Fuchs, InfoGuard
Den Trend bestätigen auch die von Computerworld befragten Branchen-Experten. «Bei ungefähr zwei Drittel aller aktuellen Ransomware-Vorfälle wird versucht, vor dem Verschlüsseln Daten zu stehlen», berichtet Wüest von Acronis. Denn diese doppelte Erpressung sei auch dann wirksam, wenn das Unternehmen über ein funktionierendes Backup-Konzept verfüge, ergänzt er erklärend. Deshalb setze sich diese Methode immer mehr bei den Cyberkriminellen durch. Auch Mathias Fuchs, Head of Investigations & Intelligence beim Baarer IT-Security-Dienstleister InfoGuard, bestätigt den Trend. Die Praxis zeigt allerdings, dass Grossfirmen eher das Opfer von Doxing-Angriffen werden als KMU. «Unserer Erfahrung nach hängt es stark von der Grösse des Zielopfers ab. Bei ungefähr 60 bis 80 Prozent der KMU werden keine Daten gestohlen. Bei grösseren Unternehmen, ca. ab 1000 Mitarbeitenden, hingegen ist dies bei etwa 5 bis 10 Prozent der Fall», führt Fuchs aus. Oder umgekehrt ausgedrückt: Bei bis zu 95 Prozent der Angriffe auf Grossunternehmen werden auch Daten entwendet.
Doch beim schlichten Doxing scheinen es die Cyberkriminellen nicht zu belassen. Vermehrt werden sogar Angriffe mit Dreifach-Erpressung beobachtet. Besonders wenn die Veröffentlichung der gestohlenen Daten Kunden und Partner kompromittiert, können auch diese von den Hackern erpresst werden. Ein Paradebeispiel ist der Ransomware-Angriff auf die finnische psychiatrische Klinik Vastaamo. Hier wurde nicht nur Lösegeld von der Gesundheitseinrichtung gefordert. Mithilfe der zuvor gestohlenen Krankendaten, zu denen Therapieprotokolle gehörten, wurde auch von den einzelnen Patienten Lösegeld gefordert. Ein weiteres berüchtigtes Beispiel war im April 2021 der Angriff auf den taiwanischen Notebook-Zulieferer Quanta. Nachdem dieser die von den Cyberkriminellen geforderte Lösegeldsumme in Höhe von 50 Millionen Dollar offenbar nicht zahlte, erpressten die Hacker mit Apple einen der Quanta-Partner. Sie veröffentlichten im Darknet Blaupausen zu einigen Apple-Produkten und forderten den kalifornischen Hersteller auf, die Baupläne «zurückzukaufen».
Selbst in der Schweiz ereignet sich Vergleichbares. «Dreifach-Erpressungen passieren immer wieder in verschiedenen Konstellationen», weiss Fuchs von InfoGuard zu berichten. Am häufigsten werden ihm zufolge Zulieferer gehackt, deren Kundendaten verschlüsselt werden. Anschliessend werden dann die Kunden oft separat erpresst. Dies führt gelegentlich zu ausgefallenen Situationen. «Wir hatten schon Fälle, in denen die Angreifer dem gehackten Zulieferer empfahlen, eine ‹Lösegeld-Sammelaktion› bei seinen Kunden zu starten», berichtet Fuchs.
Daneben versuchen die Täter auch mit zahlreichen zusätzlichen Angriffen im Rahmen einer regelrechten psychologischen Kriegsführung, den Druck weiter zu erhöhen. So wird beobachtet, dass neben den Ransomware-Attacken gleichzeitig auch noch DDoS-Angriffe (Distributed Denial of Service) auf Firmen gestartet werden. Eine weitere Form der Machtdemonstration der Hacker manifestiert sich in sogenanntem «Print Bombing». Dabei kapern die Kriminellen alle Drucker im Unternehmen und geben auf diesen ihre Lösegeldforderung aus.