teissTalk: Ransomware 2022 - Wie entwickelt sich die lukrativste Form der Bedrohung?

Was bedeutet Ransomware?

 

Ransomware ist eine Zusammensetzung aus den beiden Wörter "Ransom" und "Malware". Darunter versteht man verschiedene Angriffsformen. Ziel ist die Erpressung und die Zahlung von Lösegeld. Zum einen dringen die Täter in die Unternehmensnetzwerke ein. Wichtige Informationen werden verschlüsselt, der Schlüssel ist nur den Tätern bekannt. Damit werden die Information oder IT-Systeme unzugänglich gemacht. Das Unternehmen ist arbeitsunfähig, da wesentliche Geschäftsprozesse nicht mehr durchgeführt werden können. Eine Variante ist, dass die Täter durch das Eindringen in die Unternehmensnetzwerke Informationen abziehen und diese freisetzen, also z.B. im Netz veröffentlichen oder versteigern. Oft werden beide Angriffsformen durchgeführt (Double-Extortion), um Druck auf das Opfer auszuüben und Lösegeld einzufordern.

Hat sich in der letzten Zeit die Art und Weise der Angriffe bzw. das Vorgehen geändert?

 

Helmut Brechtken berichtet: „Wir sehen diese Angriffe in dieser Form erst seit 4 oder 5 Jahren. Die Art der Angriffe hat sich enorm entwickelt, jedes Jahr gibt es eine neue Evolution der Angriffe. Die neueste Entwicklung ist, dass Daten nur noch ausgeleitet werden und das Opfer damit erpresst wird. Die Erpresser bewegen sich sehr schnell, lernen sehr schnell, sind sehr kreativ.

 

Manuel Atug: „Die erste Erpressung im Internet gab es Ende der 80er Jahre. Problem war jedoch, dass der Zahlungsweg nachverfolgt werden konnte. Seit 2017 ist mit Bitcoin als Kryptowährung der letzte Schritt der Digitalisierung in der Prozesskette bei vollständiger Anonymisierung gegangen worden. Seitdem wächst die Zahl der Angriffe exponentiell. Die Tätergruppen sind nun so weit, dass sie "VIP-Support" anbieten, also z.B. Unterstützung bei der Zahlung und Entschlüsselung. Es ist der Versuch ein Rundum-Sorglos-Paket zu schnüren und Reputation aufzubauen (Ransomware as a Service), damit die Opfer das Gefühl haben, na ja, ich musste zahlen, aber es war gar nicht so schlimm, denn ich habe ja meine Daten wieder.

 

Werden die Angriffe individueller?

 

Dr. Harald Niggemann: „Das Spektrum der Angriffe ist groß. Z.B. finden auch direkte Einwirkungen auf einen Mitarbeiter*in eines Unternehmens statt. Zusätzlicher Druck wird aufgebaut, direkte Kommunikation wird angeboten. Je nachdem welche Tätergruppe aktiv ist oder welches Unternehmen angegriffen wird, ist der Angriff sehr individuell. Auch hinsichtlich der Präferenzen, Verschlüsselung und/oder leaken bzw. nur leaken. Es gibt auch noch weitere Erpressungsformen im Cybercrime, z.B. DDOS-Angriffe (Überlastungsangriffe)

Helmut Brechtken bestätigt, dass die Angriffe auf die Unternehmen zugeschnitten sind. Die Angreifer informieren sich über ihre Ziele und stellen eine für das Ziel angemessene Forderung, z.B. hinsichtlich der Höhe des Lösegeldes.

 

Manuel Atug berichtet, dass das Ecosystem der Tätergruppen grob in 3 Kategorien eingeteilt werden kann.

1. Die Täter suchen Lücken, gehen in das System rein und hinterlassen Backdoors oder Plantate.
2. Täter, die „Ransomware as a Service“ anbieten, die Software entwickeln und diese auf einer Plattform bereitstellen und individuell zusammenbauen.
3. Täter, die Ransomware benutzen und die Lücken ausnutzen, das Opfer auskundschaften, taxieren und erpressen.