Einfach die Daten zu verschlüsseln scheint vielen Schadprogrammen nicht mehr zu reichen. Sie setzten zusätzlich auf “Publing Shaming”, der Bloßstellung der Geschädigten. Die Schadsoftware Sodinokbi, auch als REvil bekannt, ist derzeit besonders aktiv.
Daten absaugen und unbrauchbar machen
Das Perfide an moderner Schadware ist ihre komplexe Funktionsweise. Die Maleware hält sich auf infizierten Systemen eine Hintertür offen, um Daten abzusaugen. Bekannt ist diese Funktionsweise beispielsweise von Emotet, das gleichzeitig Trickbot und die Ransomware Ryuk an Bord hat. Die Schädlinge tauschen sich über Backdoors mit Command-and-Control-Servern in der Ferne aus. Über den Austausch organiseren die Schädlinge ein Nachladen von weiteren Daten und stehlen weitere Daten vom befallenen System.
Erpresser stellen Ransomware Opfer bloß
Seit der Mitte des letzten Jahres ist der Verschlüsselungstrojaner Sodinokibi aktiv. Er kommt auch als REvil vor. Die Entwickler der Software sahen es nicht ausschließlich auf das unbrauchbar machen von Daten und die anschließende Erpressung ab. Ist der Virus schon mal platziert, greifen die Cyber-Kriminellen gleich noch sensible Daten ab. Hauptziel für die Angriffe sind Firmenrechner und -netzwerke. Um ihrer Erpressung Nachdruck zu verleihen, bedienen sich die Betrüger einer neuen Methode, des “Public Shamings”. Die Erpresser schalten Internetseiten frei, in denen sie ihre Erpressung publik machen. Dabei veröffentlichen sie gestohlene Dokumente. Diese neue Strategie finden Spezialisten für IT-Sicherheit seit einiger Zeit immer wieder bei Ransomware.
Gezielte Suche nach schädlichen Informationen
Das Ziel ist klar. Bisher war es so, dass viele Unternehmen versuchten, Erpressungen aus dem Cyberraum zu vertuschen. Zu groß war die Angst vor dem Verlust von Ansehen und Vertrauen. So entschieden sich nicht wenige Unternehmer, den Vorfall lieber zu verschweigen und an die Erpresser zu zahlen. Wenn sie Glück hatten, rettete dies immerhin ihre Daten und nebenbei ihre Reputation bei Investoren, Lieferanten und Kunden. Unternehmer versuchten also, Public Shaming zu vermeiden. Sodinokibi setzt genau dort an. Die Erfinder des Schadprogramms setzen nun einen Fokus auf das Ausspionieren und Leaken von Daten. Die Software sucht gezielt nach vertraulichen Unternehmensdaten und kompromittierendem Material. Veröffentlichungen sollen dem Betrieb schaden.
Die Erfinder von Sodinokibi sind nicht zimperlich. Sie betreiben Internetseiten, in denen sie nicht nur die Daten des Opfers veröffentlichen. So drohten die Kriminellen in einem Blog namens Happy Blog einem Unternehmen mit dem Weiterkauf von Daten. Konkret ging es darum, gestohlene Sozialversicherungsnummern und Geburtstage im Dark Net weiterzuverkaufen. Außerdem drohten die Erpresser mit dem Offenlegen “schmutziger” Finanzgeheimnisse.
Es geht inzwischen nicht mehr nur darum, Daten zurückzubekommen. Geschädigte stehen unter dem Druck, die Veröffentlichung sensibler Daten zu verhindern. Der Angriff gilt nicht mehr nur dem Unternehmen, sondern auch den Mitarbeitern oder Kunden, deren Daten im Firmennetzwerk hinterlegt sind. Besonderer Druck entsteht bei den Unternehmen, weil die Erpresser damit drohen, alle betroffenen Personen über den Verkauf zu informieren. Dabei nennen sie auch die Datenquelle. Ein verheerender Vertrauensverlust für das geleakte Unternehmen.
Neue Masche kündigte sich an
Die Drohung, sensible Daten von Unternehmen zu veröffentlichen, ist nicht neu. Eine solche Vorgehenswesie kündigten die Entwickler von Sodinikibi schon Ende 2019 an. Unternehmen, welche die geforderten Zahlungen verweigern, müssen mit der Veröffentlichung von Daten oder dem Verkauf an Konkurrenten rechnen. Die Entwickler des Schädlings Maze begannen bereits im Dezember 2019, ihre Drohungen umzusetzen und stellten erste Daten online. Auf einer Internetseite veröffentlichten die Kriminellen Unternehmensnahmen, welche die Bezahlung eines Lösegelds verweigern. Die Hinterleute von Maze veröffentlichten das Datum des Angriffs, die gestohlene Datenmenge, IP-Adressen und Computernamen der infizierten Server.
Experten verweisen darauf, dass diese Entwicklung nicht überraschend ist. Entwickler von Schadsoftware drohen bereits seit Jahren damit, gestohlene Daten zu veröffentlichen. In Deutschland war Maze beispielsweise im November aktiv. Die Betrüger versandten damals E-Mails, die sie als 1&1-Rechnung tarnten. Im Anhang befand sich ein Word-Dokument das beim Öffnen einen Makro-Code lud. Im Januar nutzten weitere Kriminelle diese neue Masche. Darunter sind die Entwickler von Nemty und Bit PyLock.
Handgesteuerte Malware
Seit Februar haben IT-Sicherheitsexperten einen neuen Schädling auf dem Radar. “DoppelPaymer” verschlüsselt dabei nicht mehr die komplette IT-Infrastruktur eines Unternehmens. Die Untersuchungsergebnisse der Analysten von Microsoft zeigten, dass die Malware nur einen kleinen Teil verschlüsselt. Allerdings nistete sich ein Teil der Schadsoftware in anderen Bereichen ein. Auf diese Weise sorgten die Entwickler dafür, dass sie jederzeit wieder auf das System zugreifen können.
Microsoft sieht in vom Menschen betriebene Kampagnen eine erhebliche Bedrohung. Die Kriminellen verfügen über hohe Kenntnisse in der Systemadministration und kennen Schwachstellen der Netzwerkssicherheit. Die Betrüger kundschaften das System aus und passen ihre Schadsoftware entsprechend der gefundenen Gegebenheiten an. Sichtbar sind nur die Verschlüsselungen. Unbemerkt findet das Ausspionieren weiterer Daten statt. Laut Microsoft funktionieren die Netzwerke trotz der Kampagnen ohne Einschränkung. Die Kampagnen starten meist mit einfacher Schadsoftware wie einem Banking-Trojaner. Oft erkennt die Antivirensoftware sogar die Angriffe. Sie dienen allerdings nur als Finte um Zugang zu Administratorrechten zu erhalten und die Antivirensoftware unbemerkt abzuschalten.
Ransomware dient dem Datendiebstahl
Die neuen Kampagnen dienen nicht mehr hauptsächlich der Verschlüsselung von Daten. Die Erpressung geht weit über das Angebot, gegen ein Lösegeld Daten wiederherzustellen, hinaus. Auch dass das die Entwickler Daten stehlen, ist nicht das größte Problem Betroffener. Es ist die Androhung der Veröffentlichung sensibler Daten und die Entschlossenheit der Täter dies auch wirklich zu tun. Unternehmen kommen in eine noch größere Zwickmühle. Ein Angriff ist nicht mehr zu verheimlichen, das Vertrauen wird vernichtet. Wenn Unternehmer Pech haben, werden kritische Finanzaktionen aufgedeckt. Erpresste verlieren das Geschehen komplett aus der Hand. Angesichts der Ertragschancen stellt sich für Betrüger nicht die Frage, ob sich die Handarbeit wirklich lohnt. Wenn nur wenige betroffene Firmen nachgeben, dürfte sich der Einsatz schon lohnen.
Zukünftig ist ein Fall krimineller Verschlüsselung von Daten also komplexer zu betrachten. Systemspezialisten müssen die Ereignisse immer als potenzielle Angriffe auf sensible Daten erkennen. Solche Ereignisse sollten gegenüber allen Betroffenen möglichst schnell kommuniziert werden. Nur wenn dies vor dem Leak durch die Cyber-Kriminellen erfolgt, kann der Schaden etwas begrenzt werden.