Ransomware-Gang durchsucht gestohlene Firmendaten nach Erpressungsmöglichkeiten
Immer mehr verschlüsselnde Schädlinge verfolgen noch eine zweite Strategie: Erpressung mittels "Public Shaming". "Sodinokibi" geht einen Schritt weiter.
(Bild: Evdokimov Maxim/Shutterstock.com)
Moderne Malware installiert (fast) immer auch eine Backdoor auf den betroffenen Systemen. Schädlinge wie etwa das Trio aus Emotet, Trickbot und der Ransomware Ryuk kommunizieren durch solche Hintertüren mit entfernten Command-and-Control-Servern, laden weitere Dateien nach und greifen immer wieder auch vertrauliche Daten ab.
Die Macher des Verschlüsselungstrojaners Sodinokibi aka REvil, der seit mindestens Mitte vergangenen Jahres sein Unwesen treibt, stehlen im Zuge jeder Infektion auch Daten – vornehmlich von Firmen-Rechnern. Dahinter verbirgt sich eine Erpressungs-Strategie, die sich in den vergangenen Monaten mehrere Ransomware-Familien zu eigen gemacht haben. Die Kriminellen richten spezielle Websites ein, auf denen sie die Vorfälle publik machen und gestohlene Dokumente veröffentlichen.
Neu: Gezielte Suche nach "schmutzigen" Geheimnissen
Erfolgversprechend schien diese Masche bislang vor allem deshalb, weil manche Firmen Ransomware-Vorfälle aus Angst vor Prestige- und Vertrauensverlust noch immer gern unter den Teppich kehren. Das "Public Shaming" stand also im Fokus. Eine neue Entwicklung ist nun allerdings, dass die Sodinokibi-Drahtzieher den Schwerpunkt stärker auf die geleakten Daten beziehungsweise deren Inhalt legen: Offenbar haben sie begonnen, ganz gezielt nach Firmengeheimnissen zu suchen und Daten zu extrahieren, deren Veröffentlichung den Unternehmen schaden könnten.
Wie die IT-News-Website Bleeping Computer berichtet, haben die Sodinokibi-Macher in einem Blog mit der zynischen Überschrift "Happy Blog" unter anderem damit gedroht, geleakte Sozialversicherungsnummern, Geburtsdaten und andere Informationen im Darknet zu verkaufen. Zudem würden sie die betroffenen Personen anschließend darüber informieren, welchem Unternehmen sie dieses Leak zu verdanken hätten. Auch von kompromittierenden Finanzinformationen ist die Rede, die (wohl in dem Fall, dass das Lösegeld nicht gezahlt wird) zu einem späteren Zeitpunkt veröffentlicht würden.
(Bild: Bleeping Computer / Screenshot)
Trend zur "Erpressung 2.0" seit Monaten erkennbar
Bereits Ende vergangenen Jahres drohten die Sodinikibi-Macher in Untergrundforen damit, vertrauliche Daten von Unternehmen, die die Zahlung verweigerten, öffentlich verfügbar zu machen oder deren Konkurrenz zum Kauf anzubieten. Die Kriminellen hinter der Ransomware "Maze" richteten bereits im Dezember 2019 eine "Public-Shaming"-Website ein, auf der sie unter anderem firmeninterne MS-Office-, Text- und PDF-Dateien öffentlich zum Download bereitstellten. Im Januar 2020, so berichtete unter anderem Security Affairs, folgten die "Nemty"- und "BitPyLock"-Gangs dem Beispiel von Maze.
Ein weiterer Schädling, der diese Strategie mindestens seit Februar verfolgt, ist die Ransomware "DoppelPaymer". Analysten von Microsoft, die DoppelPaymer unter die Lupe nahmen, bemerkten in einem Blogpost, dass im Zuge von Kampagnen mit dieser Malware immer nur ein Teil der (Unternehmens-)Infrastruktur mit der Verschlüsselungssoftware infiziert und ein noch kleinerer Teil der Systeme tatsächlich verschlüsselt werde. Auf den übrigen würden sich weitere Komponenten einer solchen Kampagne dauerhaft einnisten, sodass die Angreifer auch weiterhin jederzeit den Zugang behielten.
Ransomware-Infektionen sind zugleich auch Datenlecks
Vor dem Hintergrund dieser Entwicklungen stellt die gezielte Suche nach "schmutzigen" Geheimnissen eine fast schon vorhersehbare Weiterverfolgung des eingeschlagenen Weges dar. Die manuelle Auswertung gestohlener Daten durch Ransomware-Entwickler dürfte sich für diese bereits dann lohnen, wenn einige wenige betroffene Firmen auf die neue Masche anspringen.
Somit ist es wahrscheinlich, dass sich dieser unerfreuliche Trend weiter fortsetzt und noch zunimmt. Vor diesem Hintergrund scheint es angebracht, Ransomware-Infektionen künftig immer auch als (potenzielle) Leaks sensibler Unternehmens- und Kundendaten zu betrachten, die verantwortungsvoll an alle Betroffenen zu kommunizieren sind. Und zwar, bevor die Kriminellen dies selbst in die Hand nehmen.
sadsads
(ovw)
