Ransomware: Nach der Erpressung folgt umgehend die nächste Erpressung

Sicherheitsforscher haben im Kontext von Ransomware-Attacken erpresserische Folgeangriffe dokumentiert. Dabei kontaktierten Gangster bereits attackierte Firmen und bieten ihre "Hilfe" gegen eine Gebühr an.

Doppelte Erpressung

In einem Beitrag schildern die Forscher von Artic Wolf ihre Erkenntnisse. In zwei von ihnen beobachteten Fällen wurden Opfer der Verschlüsselungstrojaner Akira und Royal im Zuge von Folgeattacken angeschrieben.

Die Verfasser haben sich dabei ihnen zufolge als vermeintliche Sicherheitsforscher ausgegeben, die angeblich Zugriff auf die Server der Ransomwarebanden haben. Gegen die Zahlung eines nicht konkret bezifferten Betrages sollen sie angeboten haben, die von Akira und Royal kopierten internen Daten, die als Druckmittel als Leak veröffentlicht werden sollen, zu löschen.

Wer steckt dahinter?

In beiden Fällen sind die Betrüger mit anderen Gruppennamen aufgetreten. Beim Anschreiben haben die Forscher aber viele Ähnlichkeiten verzeichnet. So fand etwa die Kommunikation via Tox-Chat statt und viele Formulierungen waren ähnlich.

Ob die Drahtzieher von Akira oder Royal für die Doppel-Erpressung verantwortlich zeichnen, ist bislang nicht bekannt. Es könnte auch sein, dass einfach andere Online-Kriminelle auf den Zug aufgesprungen sind. Gerade in Zeiten von Ransomware-as-a-Service (RaaS) und den unzähligen Gruppen ist es sehr schwierig, Attacken überhaupt noch korrekt bestimmten Akteuren zuzuordnen.

Zusätzlich gibt es noch ein paar Ungereimtheiten: So gibt Akira an, dass sie in dem konkreten Fall der Attacke gar keine Daten des Opfers kopiert haben. Bei diesem Angriff wurden Dateien wohl ausschließlich verschlüsselt. Außerdem haben die Doppel-Erpresser bei der Royal-Ransomware-Attacke die ursprünglichen Angreifer fälschlicherweise der TommyLeaks-Gruppe zugeordnet.

(des)