Erpresser nehmen Führungskräfte ins Visier

Ransomware wird persönlich. Nicht mehr nur die Informationen des Unternehmens allgemein, sondern auch Ehebruch, Betrug, Rechtsstreitigkeiten und andere Details, die Führungskräfte lieber unter der Decke halten, wird zur Erpressung genutzt.

ZDNet erfuhr zum ersten Mal von dieser neuen Taktik Anfang dieser Woche während eines Telefonats mit einem Unternehmen, das ein Lösegeld in Höhe von mehreren Millionen Dollar an die Clop-Ransomware-Bande gezahlt hat.

Ähnliche Anrufe mit anderen Clop-Opfern und E-Mail-Interviews mit Cybersecurity-Firmen bestätigten später, dass es sich hierbei nicht um einen einmaligen Ausrutscher handelte, sondern um eine Technik, die die Clop-Bande in den letzten Monaten verfeinert hatte.

In den letzten zwei Jahren haben sich Ransomware-Banden von zufälligen Angriffen auf Privatanwender hin zu sehr gezielten Angriffen auf große Unternehmen weiterentwickelt.

Diese Gruppen dringen in Unternehmensnetzwerke ein, stehlen sensible Dateien, die sie in die Hände bekommen, verschlüsseln Dateien und hinterlassen dann Lösegeldforderungen auf den zerstörten Computern.

In einigen Fällen informiert die Lösegeldforderung Unternehmen darüber, dass sie ein Lösegeld zahlen müssen, um einen Entschlüsselungsschlüssel zu erhalten. Für den Fall, dass Daten gestohlen wurden, informieren einige Lösegeld-Notizen die Opfer auch darüber, dass die gestohlenen Daten online auf sogenannten „Leak-Sites“ veröffentlicht werden, wenn sie das Lösegeld nicht bezahlen.

Ransomware-Gruppen hoffen, dass Unternehmen verzweifelt vermeiden wollen, dass geschützte Daten oder Finanzzahlen online veröffentlicht werden und für Konkurrenten zugänglich sind, und dass sie eher bereit sind, eine Lösegeldforderung zu zahlen, als eine Wiederherstellung aus Backups durchzuführen.

In anderen Fällen haben einige Ransomware-Banden den Unternehmen mitgeteilt, dass die Veröffentlichung ihrer Daten ebenfalls einem Datenschutzverstoß gleichkäme, was in vielen Fällen auch eine Geldstrafe von den Behörden nach sich ziehen würde, sowie eine Schädigung des Rufs, was Unternehmen ebenfalls vermeiden wollen.

Allerdings sind Ransomware-Banden nicht immer in der Lage, bei allen Einbrüchen, die sie durchführen, proprietäre Daten oder sensible Informationen in die Hände zu bekommen. Dies reduziert ihre Möglichkeiten, zu verhandeln und die Opfer unter Druck zu setzen.

Aus diesem Grund hat eine Gruppe, die häufig den Clop-Ransomware-Stamm verwendet hat, bei den jüngsten Einbrüchen gezielt nach Arbeitsstationen in einem angegriffenen Unternehmen gesucht, die von den Top-Managern verwendet werden.

Die Gruppe durchforstet die Dateien und E-Mails eines Managers und exfiltriert Daten, von denen sie glaubt, dass sie nützlich sein könnten, um das Management eines Unternehmens zu bedrohen, in Verlegenheit zu bringen oder unter Druck zu setzen – dieselben Personen, die höchstwahrscheinlich Tage später die Lösegeldforderung genehmigen würden.

„Dies ist ein neuer Modus Operandi für Ransomware-Akteure, aber ich kann sagen, dass ich nicht überrascht bin“, erklärt Stefan Tanase, ein Cyber Intelligence-Experte bei der CSIS Group.

„Ransomware hat es in der Regel auf die ‚Kronjuwelen‘ des Unternehmens abgesehen, auf das sie abzielt“, so Tanase. „Normalerweise sind es Dateiserver oder Datenbanken, wenn es darum geht, Daten zu exfiltrieren, mit dem Ziel, sie auszuspionieren. Aber es macht Sinn, dass sie es auf die persönlichen Rechner abgesehen haben, wenn das die größte Auswirkung haben wird.“

Brett Callow, ein Bedrohungsanalyst bei der Cybersecurity-Firma Emsisoft, sagte gegenüber ZDNet, dass sie solche Taktiken bisher nur bei Vorfällen mit der Ransomware Clop gesehen haben. „Diese Art der Erpressung könnte der Modus Operandi eines bestimmten [Clop]-Teilnehmers sein, und dieser könnte auch für andere [Ransomware]-Gruppen arbeiten“.

Der Emsisoft-Analyst bezeichnete diese Entwicklung in der Erpressungstaktik als „überhaupt nicht überraschend“ und „eine logische und unvermeidliche Entwicklung“.

„In den letzten Jahren sind die Taktiken der Ransomware-Gruppen immer extremer geworden, und sie nutzen nun jede mögliche Methode, um ihre Opfer unter Druck zu setzen“, betont Callow.

„Zu den weiteren Taktiken gehören belästigende und bedrohliche Telefonanrufe sowohl bei Führungskräften als auch bei Kunden und Geschäftspartnern, Facebook-Anzeigen, Pressearbeit und Drohungen, die schmutzige Wäsche von Unternehmen zu enthüllen.“

Laut Evgueni Erchov, Director of Incident Response and Cyber Threat Intel bei Arete IR, scheint es, dass ein Tochterunternehmen der REvil (Sodinokibi) Ransomware-as-a-Service-Operationen diese Technik bereits von der Clop-Bande übernommen hat (oder es könnte sich um dasselbe Clop-Tochterunternehmen handeln, das Callow oben erwähnt hat).

„Konkret war der Bedrohungsakteur in der Lage, Dokumente zu finden, die sich auf laufende Rechtsstreitigkeiten und die damit verbundenen internen Diskussionen der Opfer beziehen. Dann nutzte der Bedrohungsakteur diese Informationen und wandte sich per E-Mail direkt an die Führungskräfte und drohte, die Daten über das angebliche Fehlverhalten des Managements öffentlich zu machen“, so Erchov.

Allan Liska, ein Senior Security Architect bei Recorded Future, hat diese Taktik bisher nur bei Clop-Angriffen gesehen, aber schließt nicht aus, dass andere Ransomware-Akteure sie ebenfalls anwenden. „Ransomware-Banden übernehmen sehr schnell neue Techniken, insbesondere solche, die eine Lösegeldzahlung wahrscheinlicher machen“, so Liska.

„Es macht auch Sinn in der Entwicklung von Erpressungstaktiken, da Ransomware-Banden immer größere Ziele anvisieren und verschiedene Wege ausprobieren mussten, um eine Zahlung zu erzwingen.“

„Die Drohung, gestohlenen Daten zu veröffentlichen, ist jedem bekannt, aber es wurden auch andere Taktiken ausprobiert, wie z. B. die Drohung von REvil, Details des Angriffs per E-Mail an Börsen zu senden“, so Liska.

Bill Siegel, der CEO und Mitbegründer der Sicherheitsfirma Coveware, glaubt aber, dass in vielen Fällen die Daten, die in diesen Erpressungsschemata verwendet werden, die auf das Management eines Unternehmens abzielen, nicht immer wahrheitsgemäß sind oder den Erwartungen entsprechen. „Die Ransomware-Gruppen machen alle möglichen Drohungen darüber, was sie haben oder nicht haben.  Wir sind noch nie auf einen Fall gestoßen, in dem die gestohlenen Daten tatsächlich Beweise für unternehmerisches oder persönliches Fehlverhalten enthielten. In den meisten Fällen handelt es sich nur um eine Panikmache, um die Wahrscheinlichkeit einer Zahlung zu erhöhen“, so Siegel.

„Wir dürfen nicht vergessen, dass es sich um kriminelle Erpresser handelt. Sie werden alle möglichen phantastischen Dinge sagen oder behaupten, wenn es ihnen Geld einbringt.“