Cyberangriff
Trend Micro kommentiert Cyberangriff auf Subway
Ransomware as a Service (RaaS)-Angriff
Von Richard Werner, Business Consultant bei Trend Micro
Und wieder hat die Ransomware as a Service (RaaS)-Gruppe Lockbit zugeschlagen. Das neueste Opfer: die Frenchise-Kette Subway. Daten seien gestohlen worden und mit denen werde das Unternehmen gerade erpresst.
So berichtet u.a. Heise über den Vorfall. Überraschend ist das nicht. Lockbit gehört zu den gefährlichsten RaaS-Gruppen, die aktuell existieren. Ihre Opfer sind primär in den USA und Europa zu finden. Sie bestehen zu etwa 70 Prozent aus kleinen und mittelständischen Unternehmen (< 500 Mitarbeiter). Pro Halbjahr sind zwischen 500 und 800 einzelne Opfer identifizierbar. Dabei ist allerdings zu bemerken, dass wir nur die Opfer kennen, die sich zunächst weigern zu zahlen. Ein paar Hintergründe zur Methode.
"Überraschend ist das nicht", so Richard Werner, Business Consultant bei Trend Micro. "Lockbit gehört zu den gefährlichsten RaaS-Gruppen, die aktuell existieren. Ihre Opfer sind primär in den USA und Europa zu finden. Sie bestehen zu etwa 70 Prozent aus kleinen und mittelständischen Unternehmen (< 500 Mitarbeiter). Pro Halbjahr sind zwischen 500 und 800 einzelne Opfer identifizierbar. Dabei ist allerdings zu bemerken, dass wir nur die Opfer kennen, die sich zunächst weigern zu zahlen."
Methode der doppelten Erpressung
Ein Ransomware-Angriff läuft im Endeffekt so ab: Die Täter breiten sich innerhalb des Opferunternehmens aus und verschlüsseln alle im Zugriff befindlichen Systeme. Anschließend wird das Opfer mit der Verfügbarkeit der IT erpresst. Diese Methode wirkt heutzutage nicht mehr annähernd so zuverlässig, wie sie das noch vor vier oder fünf Jahren tat. Die Opfer können heutzutage auf erfahrene Cyberverteidigungen zurückgreifen. Verschiedene Erkennungstechnologien sorgen dafür, dass die Täter, wenn überhaupt, nur noch Teilbereiche eines Unternehmens übernehmen können, bevor sie auffliegen. Backup-Systeme stellen auch diese wieder her. Und so ist das Argument der „Verschlüssler“ in vielen Fällen gar nicht mehr so groß, wie sie es gerne hätten. Hier nun kommt die Komponente „Datendiebstahl“ ins Spiel. Das betroffene Unternehmen wird damit bedroht, diese Daten zu veröffentlichen. Sind Kundendaten betroffen oder sogar Geschäftsgeheimnisse, ist ein Anreiz geschaffen, zu zahlen. Die Namen der so bedrohten Opfer sind diejenigen, die wir, wie oben beschrieben, identifizieren und damit statistisch erfassen können.
Nicht zahlen
Gestohlene Daten können nicht zurückgekauft werden. Anders als bei materiellen Gütern wechselt der Besitz der Güter nicht. Sie werden einfach nur kopiert. Das bedeutet die gestohlenen Daten verbleiben im Besitz der Täter. Zahlt man, um eine Veröffentlichung zu verhindern, beweist man damit lediglich, dass es sich hier um wertvolle, interessante Informationen handelt, nicht um irrelevanten Datenmüll. Für das Opfer ist es sinnvoller festzustellen, welche Daten entwendet wurden und die Eigentümer über den Verlust zu informieren. Denn das muss ohnehin geschehen, will man nicht bis in alle Zukunft erpressbar bleiben oder sich den Klagen Geschädigter gegenübersehen.
Das Problem für den Normalmenschen
Weltweit scheint nur etwa ein Siebtel der Unternehmen (~14 Prozent) aufgrund der zweifachen Erpressung zu zahlen. Dies muss nicht einmal mit dieser Methode zusammenhängen, sondern kann auch bedeuten, dass das Opfer eigentlich für die Entschlüsselung zahlt und deshalb die Erpressung mit den Daten zurückgenommen wird. Nur: die große Menge gestohlener Daten, über die, wie hier bei Subway auch, gesprochen wird, ist letztlich ein Verkaufsargument. Die Spekulation über mögliche Skandale oder wertvolle Inhalte soll vor allem Kaufinteressenten identifizieren. Denn damit wird das Geld gemacht, wenn das Opfer nicht zahlt. Die große Menge an gestohlenen Daten ist nun wiederum für uns Normalmenschen ein Problem. Denn an irgendeiner Stelle sind wir betroffen. Eine geklaute Telefonnummer kann ein Enkeltrick werden. Auf die entwendete E-Mail-Adresse folgt ein Phishing-Angriff. An die physische Adresse werden Fake-Pakete gesendet und was mit Zahlungsinformationen passieren kann, muss niemandem erklärt werden. All diese Daten kommen von solchen Diebstählen und je mehr davon passieren, desto genauer ist das Bild, welches über einzelne Personen gezeichnet werden kann. Eine Minimierung der persönlichen Daten wäre wünschenswert. Außerdem, dass diese nicht ständig irgendwo eingesammelt und gespeichert werden, wenn man dann nicht in der Lage ist, sie sicher zu schützen. Wenn es doch bloß sowas wie ein Gesetz dafür geben würde.