Backups sind kein Allheilmittel, wenn Erpresser gestohlene Daten veröffentlichen

Das Sichern von Daten war bisher eine der effektivsten, wenn auch arbeitsintensivsten Schutzmaßnahmen im Kampf gegen Krypto-Ransomware. Doch mittlerweile scheinen die Übeltäter selbst diejenigen, die sich bislang auf das Backup ihrer Daten verlassen haben, eingeholt zu haben. Denn die Ersteller mehrerer Ransomware-Programme veröffentlichten die sensiblen Daten ihrer Opfer, die sich weigerten, das geforderte Lösegeld zu zahlen, online.

Durch die Veröffentlichung von Daten werden Bedrohungen Wirklichkeit

Drohungen, vertrauliche Informationen zu veröffentlichen, sind nichts Neues. Bereits die Gruppe, die hinter der Kryptoware steckte, die die Systeme der San Francisco Municipal Railway im Jahr 2016 infizierte, versuchte ihr Glück mit diesem Trick. Wahr machte die Gruppe ihre Drohungen allerdings nie.

Ransomware Maze

Im Gegensatz zu ihren Vorgängern setzte die Gruppe, die für die Ransomware Maze verantwortlich war, ihre Versprechen Ende 2019 tatsächlich in die Tat um – und das mehr als einmal. Im November, als Allied Universal die Zahlung verweigerte, veröffentlichten die Kriminellen 700 MB interne Online-Daten wie Verträge, Kündigungsvereinbarungen, digitale Zertifikate und mehr. Die Erpresser gaben an, sie hätten lediglich 10% der von ihnen gestohlenen Daten veröffentlicht und damit gedroht, den Rest bei fehlender Kooperation des Zielobjekts ebenfalls öffentlich zugänglich zu machen.

Im Dezember erstellte die Maze-Gruppe eine Website, auf der die Namen der betroffenen Unternehmen, die Infektionsdaten, die Menge der gestohlenen Daten sowie die IP-Adressen und Namen der infizierten Server, veröffentlicht wurden. Ende des Monats erschienen 2 GB Dateien, die offenbar der Stadt Pensacola in Florida gestohlen worden waren. Die Erpresser sagten, sie hätten die Informationen veröffentlicht, um zu beweisen, dass mit ihnen nicht zu spaßen sei.

Im Januar luden die Macher von Maze 9,5 GB Daten von Medical Diagnostic Laboratories und 14,1 GB Dokumente vom Kabelhersteller Southwire hoch, der zuvor die Erpresser wegen Weitergabe vertraulicher Informationen angeklagt hatte. Die Klage führte zur vorübergehenden Schließung der Maze-Website.

Es folgten Sodinokibi, Nemty und BitPyLock

Weitere Cyberkriminelle folgten. Die für die Ransomware Sodinokibi verantwortliche Gruppe, über die das internationale Finanzunternehmen Travelex an Silvester angegriffen wurde, gab Anfang Januar ihre Absicht bekannt, firmeninterne Kundendaten zu veröffentlichen. Die Cyberkriminellen geben an, über mehr als 5 GB an Informationen zu verfügen, darunter Geburtsdaten, Sozialversicherungsnummern und Bankkartendaten.

Travelex selbst behauptet, keine Anzeichen eines Datenlecks festgestellt und die Zahlung des Lösegelds verweigert zu haben. Die Täter sagten jedoch aus, dass die Firma der Aufnahme von Verhandlungen zugestimmt habe.

Am 11. Januar lud dieselbe Gruppe Links zu etwa 337 MB Daten auf einem Hacker-Message-Board hoch und behauptete, die Daten gehörten der IT-Personalfirma Artech Information Systems, die sich geweigert hatte, das von ihnen geforderte Lösegeld zu zahlen. Die Täter gaben an, dass die Daten nur einen Bruchteil der gestohlenen Informationen darstellten und sagten aus, das die übrigen Daten zum Verkauf angeboten würden, wenn das Unternehmen den Forderungen der Gruppe nicht nachkommen würde.

Die Autoren derNemty Malware kündigten ebenfalls Pläne an, vertrauliche Daten von Zahlungsverweigerern zu veröffentlichen. Sie sagten, sie hätten die Absicht einen Blog zu erstellen, auf dem sie nach und nach die internen Dokumente von Opfern veröffentlichen würden, die ihre Forderungen nicht erfüllen.

Die Betreiber der BitPyLock-Ransomware schlossen sich dem Trend an, indem sie ihrer Lösegeldforderung das Versprechen hinzufügten, die vertraulichen Daten ihrer Opfer öffentlich zugänglich zu machen.

Keine reine Erpressersoftware

Erweiterte Funktionen, die Ransomware-Programmen hinzugefügt werden, sind keine Neuheit. Beispielsweise installierte eine Version des Trojaners „Shade“ im Jahr 2016 Tools für die Remoteverwaltung, anstatt Dateien zu verschlüsseln, wenn festgestellt wurde, dass ein Abrechnungscomputer betroffen war. CryptXXX hat sowohl verschlüsselte Dateien als auch Bitcoin- und Opfer-Logins gestohlen. Die Gruppe, die hinter RAA steht, hat einige Exemplare der Malware mit dem Pony-Trojaner ausgestattet, der ebenfalls auf Anmeldedaten abzielt. Die Fähigkeit von Ransomware, Daten zu stehlen, sollte niemanden überraschen – besonders jetzt, da Unternehmen zunehmend die Notwendigkeit erkennen, ihre Informationen zu sichern.

Es ist besorgniserregend, dass man sich nicht mit Backups vor derartigen Angriffen schützen kann. Bei einer Infektion haben Sie keine Möglichkeit, Verluste zu vermeiden, die nicht unbedingt auf das geforderte Lösegeld beschränkt sind. Erpresser geben keine Garantie. Der einzige Weg, sich zu schützen, besteht darin, Ihre Systeme effektiv vor Malware zu schützen.

So schützen Sie sich

Ob sich dieser neue Ransomware-Trend als effektiv erweisen wird, bleibt abzuwarten. Daher dürfen Sie den Schutz Ihres Unternehmens nicht auf die leichte Schulter nehmen. Und das bedeutet durchaus mehr als die bloße Vermeidung von Rufschädigung und die Offenlegung von Geschäftsgeheimnissen. Wenn Ihnen die persönlichen Daten eines Kunden gestohlen werden, drohen Ihnen hohe Bußgelder. Hier einige Ratschläge, um sich zu schützen:

• Sensibilisierung für das Thema Informationssicherheit: Je sachkundiger die Mitarbeiter sind, desto geringer ist die Wahrscheinlichkeit, dass Phishing und andere Social-Engineering-Techniken auf sie angewandt werden können. Unsere Kaspersky Automated Security Awareness Platform (ASAP) wurde beispielsweise für Mitarbeiter mit unterschiedlicher Arbeitsbelastung, unterschiedlichen Interessen und unterschiedlichem Zugriff auf vertrauliche Informationen entwickelt.
• Aktualisieren Sie Ihre Betriebssysteme und Software umgehend – insbesondere, wenn Anfälligkeiten festgestellt wurden, die den unbefugten Zugriff auf das System und dessen Steuerung ermöglichen.
• Verwenden Sie eine spezielle Schutzlösung zur Bekämpfung von Ransomware. Beispielsweise können Sie unser Kaspersky Anti-Ransomware Tool kostenlos herunterladen.