Daten zu verschlüsseln reicht vielen Schadprogrammen nicht mehr. Sie setzen zusätzlich auf „Public Shaming“ – die Bloßstellung der Geschädigten. Die Schadsoftware Sodinokibi, auch als REvil bekannt, ist dabei besonders aktiv.
Daten absaugen und unbrauchbar machen
Das Perfide an moderner Schadsoftware ist ihre komplexe Funktionsweise. Die Malware hält sich auf infizierten Systemen eine Hintertür offen, um Daten abzusaugen. Bekannt ist das beispielsweise von Emotet, das gleichzeitig Trickbot und die Ransomware Ryuk an Bord hat. Die Schädlinge tauschen sich über Backdoors mit Command-and-Control-Servern aus. Darüber organisieren sie das Nachladen weiterer Payloads – und stehlen parallel Daten vom befallenen System.
Erpresser stellen Ransomware Opfer bloß
Seit Mitte letzten Jahres ist der Verschlüsselungstrojaner Sodinokibi aktiv, auch als REvil bekannt. Die Entwickler hatten von Anfang an mehr im Sinn als das blosse Unbrauchbarmachen von Daten. Ist der Virus erst platziert, greifen die Angreifer gezielt sensible Daten ab. Im Fokus stehen Firmenrechner und -netzwerke. Für zusätzlichen Druck sorgt „Public Shaming“: Die Erpresser schalten eigene Websites auf, veröffentlichen dort gestohlene Dokumente und machen die Erpressung publik. IT-Sicherheitsspezialisten beobachten diese Strategie seit einiger Zeit bei immer mehr Ransomware-Familien.
Gezielte Suche nach schädlichen Informationen
Das Ziel dahinter ist klar. Lange versuchten viele Unternehmen, Erpressungen aus dem Cyberraum zu vertuschen – die Angst vor Vertrauensverlust war zu gross. Lieber zahlten sie, schwiegen und retteten damit im besten Fall ihre Daten und ihre Reputation bei Investoren, Lieferanten und Kunden. Genau dort setzt Sodinokibi an. Die Software sucht gezielt nach vertraulichen Unternehmensdaten und kompromittierendem Material. Leaks sollen den Betrieb direkt schädigen.
Die Entwickler von Sodinokibi gehen dabei weit. In einem Blog namens Happy Blog drohten die Kriminellen einem Unternehmen konkret damit, gestohlene Sozialversicherungsnummern und Geburtsdaten im Darknet zu verkaufen. Ausserdem kündigten sie an, „schmutzige“ Finanzgeheimnisse offenzulegen.
Worum es geht, ist nicht mehr nur die Datenrückgabe. Betroffene stehen unter dem Druck, die Veröffentlichung sensibler Informationen zu verhindern. Der Angriff trifft nicht mehr nur das Unternehmen, sondern auch Mitarbeitende und Kunden, deren Daten im Netzwerk liegen. Besonders verheerend: Die Erpresser drohen damit, alle betroffenen Personen persönlich zu informieren – inklusive Nennung der Datenquelle. Ein Vertrauensschaden, von dem sich viele Unternehmen kaum erholen.
Neue Masche kündigte sich an
Neu ist die Drohung nicht. Die Entwickler von Sodinokibi kündigten dieses Vorgehen bereits Ende 2019 an: Wer nicht zahlt, riskiert die Veröffentlichung der Daten oder deren Verkauf an Konkurrenten. Maze setzte diese Drohung im Dezember 2019 als erste Gruppe in die Tat um und stellte Daten online. Auf einer Internetseite veröffentlichten die Kriminellen Unternehmensnamen, die eine Lösegeldzahlung verweigert hatten – samt Angriffsdatum, gestohlener Datenmenge, IP-Adressen und Computernamen der infizierten Server.
Für Experten ist diese Entwicklung keine Überraschung. Drohungen, gestohlene Daten zu veröffentlichen, gibt es seit Jahren. In Deutschland war Maze etwa im November aktiv: Die Betrüger versandten E-Mails als 1&1-Rechnung getarnt, mit einem Word-Dokument im Anhang, das beim Öffnen einen Makro-Code lud. Im Januar griffen weitere Gruppen auf diese Masche zurück – darunter die Entwickler von Nemty und Bit PyLock.
Handgesteuerte Malware
Seit Februar haben IT-Sicherheitsexperten einen neuen Schädling im Blick. „DoppelPaymer“ verschlüsselt nicht mehr die gesamte IT-Infrastruktur eines Unternehmens. Analysten von Microsoft zeigten, dass die Malware nur einen kleinen Teil verschlüsselt – während sich ein anderer Teil still in weiteren Systembereichen einnistet. So stellen die Entwickler sicher, dass sie jederzeit wieder Zugriff haben.
Microsoft stuft solche menschengesteuerten Kampagnen als erhebliche Bedrohung ein. Die Angreifer kennen Systemadministration, verstehen Netzwerkschwachstellen und passen ihre Schadsoftware gezielt an die vorgefundene Infrastruktur an. Sichtbar sind nur die Verschlüsselungen – das Ausspionieren weiterer Daten läuft unbemerkt im Hintergrund. Die Netzwerke funktionieren währenddessen ohne sichtbare Einschränkungen. Der Einstieg erfolgt meist über einfache Schadsoftware wie Banking-Trojaner. Die Antivirensoftware erkennt diese Angriffe sogar – sie dienen aber als Ablenkung, um Zugang zu Administratorrechten zu erlangen und die Schutzsoftware dann lautlos abzuschalten.
Ransomware dient dem Datendiebstahl
Die neuen Kampagnen zielen nicht mehr hauptsächlich auf Datenverschlüsselung. Die Erpressung geht weit über das Angebot hinaus, gegen Lösegeld Daten wiederherzustellen. Und auch der Diebstahl der Daten selbst ist nicht das grösste Problem. Es ist die Androhung der Veröffentlichung – und die Entschlossenheit der Täter, diese wirklich durchzuziehen. Unternehmen stecken in einer noch grösseren Zwickmühle: Ein Angriff lässt sich nicht mehr verheimlichen, das Vertrauen ist weg. Im schlimmsten Fall werden kritische Finanzvorgänge öffentlich. Die Kontrolle über das Geschehen liegt vollständig bei den Erpressern. Für die Angreifer lohnt sich der Aufwand schon dann, wenn nur ein Bruchteil der betroffenen Unternehmen nachgibt.
Kriminelle Datenverschlüsselung ist damit künftig als das zu behandeln, was sie ist: ein potenzieller Angriff auf sensible Daten. Systemspezialisten müssen solche Ereignisse frühzeitig erkennen und alle Betroffenen so schnell wie möglich informieren. Nur wer dem Leak der Kriminellen zuvorkommt, hat eine Chance, den Schaden zu begrenzen.