IT-Angriffe: Ransomware-Gruppen verzichten wohl auf Verschlüsselung

Die bisher klassische Vorgehensweise bei Ransomware-Angriffen, Server anzugreifen und darauf befindliche Daten zu verschlüsseln, um ein Lösegeld für die Entschlüsselung zu verlangen, wird von einigen Ransomware-Gruppen offenbar gar nicht mehr genutzt, wie das Magazin The Register schreibt. Zum Erpressen eines Lösegelds reicht es demnach wohl schon aus, mit der Veröffentlichung von Daten zu drohen, die bei einem erfolgreichen Angriff entwendet wurden.

Derartige vergleichsweise noch neue Vorgehensweisen sind dem Bericht zufolge ähnlich effektiv wie das bisherige Verschlüsseln. Solch eine Verlagerung des Erpressungsmodells soll in den vergangenen Monaten vermehrt erfolgt sein. Das Magazin beruft sich in dem Bericht unter anderem auf entsprechende Warnungen des FBI sowie der für Cybersicherheit zuständigen US-Behörde Cisa. Bestätigt wird dies ebenfalls von dem IT-Sicherheitsunternehmen Mandiant und anderen.

Als Beweis für die gestohlenen Daten heißt es, dass die Angreifer dafür oft Screenshots interner Verzeichnisse oder einen Teil der Daten präsentierten. Sollte kein Lösegeld gezahlt werden, wird dem Bericht zufolge angedroht, die Daten zu verkaufen oder einfach direkt zu veröffentlichen. Für eine schnelle Zahlung gebe es Vergünstigungen. Teilweise gebe es auch gestaffelte Lösegeldforderungen, um die Kontrolle über einen bestimmten Teil oder auch alles wieder zu erlangen.

Viel Druck zum Erpressen des Lösegelds

Erst im Herbst vergangenen Jahres warnte das BSI davor, dass sich Ransomware-Angriffe zur "größten Bedrohung" entwickelten und dabei teils mehrstufige Angriffsstrategien etablierten. Ziel ist dabei immer, möglichst viel Druck auf die Angegriffenen auszuüben, damit diese das geforderte Lösegeld zahlen. Viele Ransomwaregruppen setzen auf die sogenannte Double Extortion, bei der die Opfer nicht nur mit den verschlüsselten Daten erpresst werden, sondern auch damit gedroht wird, eine Kopie der Daten zu veröffentlichen.

Auch zu einer Veröffentlichung der erlangten Daten kommt es immer wieder, wie etwa die Fälle der Stadtverwaltungen von Witten oder Schriesheim zeigen. Offenbar lohnt es sich für die Angreifer aber in einigen Fällen auch, auf die mehrstufigen Verfahren und die Verschlüsselung über Trojaner zu verzichten und sich für die Erpressung auf die erbeuteten Daten zu konzentrieren.