Ransomware

Ransomware-Anstieg um 70 Prozent: Check Point spricht von Pandemie

, San Carlos, Check Point | Autor: Herbert Wieler

Ransomware-Anstieg um 70 Prozent: Check Point spricht von Pandemie

Große Welle von Ransomware-Angriffen

Das Check Point Research Security Team bezeichnet die derzeitige Welle von Ransomware-Attacken als Ransomware-Pandemie und warnt vor einer weiteren Verstärkung dieses Trends. Eine der gefährlichsten Gruppierung ist die russische Hacker-Vereinigung REvil.

REvil ist eine der bekanntesten Ransomware-Familien. Die von der russischsprachigen REvil-Gruppe betriebene Ransomware-Familie ist seit 2019 für Dutzende großer Einbrüche verantwortlich gewesen. Einer der Schlüsselfaktoren für den Erfolg von REvil ist die Verwendung der Doppelten Erpressung als Taktik. Das bedeutet, dass die Angreifer nicht nur ein Lösegeld für die Entschlüsselung der Daten fordern, sondern auch damit drohen, die zuvor gestohlenen Informationen zu veröffentlichen, wenn keine Zahlung erfolgt.

REvil ist auch für seine Zusammenarbeit mit Partner-Hackern bekannt, die für das Eindringen in neue Ziele, die Exfiltration von Daten und die Verschlüsselung von Netzwerken verantwortlich sind. Im Gegenzug stellt die REvil-Gruppe diesen Affiliates die Ransomware selbst, die Leak-Site und alles, was mit Geld zu tun hat, zur Verfügung: von der Verhandlung bis zur Bezahlung.

Im Februar 2021 gab die REvil-Ransomware-Gruppe bekannt, dass sie ihr Doppelte-Erpressung-Schema um zwei Stufen erweitert hat: DDoS-Attacken und Telefonanrufe bei den Geschäftspartnern und Medien des Opfers. Die Gruppe bietet nun DDoS-Attacken und sprachverschlüsselte VOIP-Anrufe an Journalisten und Kollegen als kostenlosen Service für ihre Partner an, um weiteren Druck auf das Opferunternehmen auszuüben, damit dieses die Lösegeldforderungen innerhalb des vorgegebenen Zeitrahmens erfüllt.

Im April 2021 demonstrierte REvil den Einsatz einer Technik, die wir als Dreifache Erpressung bezeichnen. Hier drang die Bande erfolgreich in Quanta Computer ein, einen bekannten Notebook-Original-Design-Hersteller (ODM) mit Sitz in Taiwan, der ein prominenter Geschäftspartner von Apple ist. Nach dem Ransomware-Angriff wurde eine Zahlung von rund 50 Millionen US-Dollar (41 Millionen Euro) von dem Hersteller gefordert, zusammen mit einer Warnung, dass die Summe bei Säumnis der Zahlung verdoppelt würde. Da sich das Unternehmen weigerte, mit den Bedrohungsakteuren zu kommunizieren, gingen diese dazu über, Apple direkt zu erpressen, indem sie verlangten, dass Apple die Blaupausen ihrer Produkte zurückkauft, die im Netzwerk von Quanta Computer gefunden wurden. Ungefähr eine Woche später entfernte REvil eigenartigerweise die Zeichnungen von Apple von ihrer offiziellen Datenleck-Website.

Interessante Entwicklung am Rande: Nach dem Ransomware-Angriff von DarkSide auf Colonial Pipeline in den USA und dem darauffolgenden internationalen Druck der Strafverfolgungsbehörden – US-Präsident Joe Biden will, dass künftig die CIA gegen Hacker-Gruppen weltweit vorgeht – haben große russische Untergrundgemeinschaften die Förderung von Ransomware-Affiliate-Projekten wie REvil verboten. Es bleibt abzuwarten, wie sich dies in Zukunft auf Ransomware-Operationen auswirken wird.

Christine Schönig, Regional Director Security Engineering CER, Office of the CTO bei Check Point

Christine Schönig, Regional Director Security Engineering CER, Office of the CTO – Check Point Software Technologies GmbH, führt zur Nachforschung aus: „Mit dem Ausbruch von Covid-19 haben Cyber-Kriminelle diese globale Krise genutzt, um parallel eine Cyber-Pandemie zu starten, also eine Welle von Cyber-Angriffen.

In der Zwischenzeit hat sich herausgestellt, dass sich diese Welle besonders in Form von Ransomware manifestiert und wir uns eindeutig inmitten einer ‚Ransomware-Pandemie‘ befinden.

Derzeit beherrschen entsprechende Angriffe in In- und Ausland die Schlagzeilen – von der Colonial Pipeline über JBS bis hin zur Massachusetts Steamship Authority. Hacker haben es besonders in den USA auf alles abgesehen, von Gas-Leitung bis Hamburgern, sind aber auch in Deutschland (aktuell bevorzugt im Mittelstand) nicht untätig. Wir vermuten, dass es noch schlimmer werden wird, weil sich das Geschäft mit Ransomware auszahlt. Besonders heikel dabei: Je mehr Unternehmen das Lösegeld zahlen, desto mehr unterstützen sie die Forschung und Entwicklung der Hacker, um noch raffiniertere Angriffe zu starten. Die Technik der Dreifachen Erpressung, bei der Hacker nicht nur ihre Ziele, sondern auch die Kunden und Partner der betroffenen Ziele erpressen, ist ein gutes Beispiel für diesen Fortschritt. Man kann mit Sicherheit sagen, dass Ransomware jetzt eine der größten nationalen Sicherheitsbedrohungen darstellt – für einige Bereiche, wie das Gesundheitswesen, wohl sogar schon die größte Gefahr.“