Die Bedrohung durch Ransomware-Attacken nimmt immer weiter zu und Sicherheitsforscher haben nun neue erschreckende Erkenntnisse veröffentlicht: Nach einer erfolgreichen Erpressung durch Ransomware drohen den betroffenen Unternehmen nun ebenfalls noch Folgeangriffe. Diese neuen Angriffe werden von den ursprünglichen Angreifern durchgeführt die sich als "Helfer" ausgeben und eine weitere Gebühr verlangen um die Daten der Opfer zu schützen.
Die Forscher von Artic Wolf haben zwei Fälle dokumentiert, in denen Opfer von Ransomware-Attacken die durch die Verschlüsselungstrojaner Akira & Royal verursacht wurden, mit Folgeangriffen konfrontiert wurden. Die Angreifer gaben sich dabei als Sicherheitsforscher aus und behaupteten, Zugriff auf die Server der Ransomware-Banden zu haben. Sie boten den Opfern an gegen Zahlung eines nicht näher bezifferten Betrages die kopierten internen Daten zu löschen die als Druckmittel veröffentlicht werden sollten.
Die Identität der Angreifer und ihre Motive
Es ist nicht klar, ob die Drahtzieher der ursprünglichen Ransomware-Angriffe auch für die Folgeangriffe verantwortlich sind oder ob es sich um andere Kriminelle handelt die welche Situation ausnutzen. Die Unterscheidung zwischen den verschiedenen Ransomware-Gruppen und die Zuordnung von Angriffen zu bestimmten Akteuren ist angesichts von Ransomware-as-a-Service (RaaS) und der Vielzahl von Angreifergruppen äußerst schwierig.
Die Forscher haben zudem festgestellt, dass es einige Ungereimtheiten gibt. So behauptet die Akira-Gruppe in einem konkreten Fall dass sie gar keine Daten des Opfers kopiert habe allerdings die Dateien lediglich verschlüsselt habe. Bei der Royal-Ransomware-Attacke haben die Folge-Erpresser zudem die ursprünglichen Angreifer fälschlicherweise einer anderen Gruppe zugeordnet.
Die Herausforderung bei der Bekämpfung von Ransomware
Die Tatsache. Dass Angreifer nun auch nach einer erfolgreichen Ransomware-Attacke Folgeangriffe durchführen, macht die Bekämpfung dieser Bedrohung noch schwieriger. Unternehmen müssen nicht nur ihre Systeme gegen Ransomware absichern, einschließlich auf mögliche Folgeangriffe vorbereitet sein.
Es ist entscheidend, dass Unternehmen proaktiv handeln und ihre Sicherheitsmaßnahmen kontinuierlich optimieren um sich vor solchen Bedrohungen zu schützen. Dazu gehört neben der Implementierung von robusten Sicherheitslösungen auch die Schulung der Mitarbeiter im Umgang mit verdächtigen E-Mails & Links, da viele Ransomware-Angriffe durch Phishing-E-Mails gestartet werden.
Zusätzlich sollten Unternehmen über eine solide Backup-Strategie verfügen um im Falle einer Ransomware-Attacke ihre Daten wiederherstellen zu können, ohne den Forderungen der Angreifer nachgeben zu müssen. Die Durchführung regelmäßiger Sicherheitsaudits und die Aktualisierung von Sicherheitsrichtlinien sind ähnlich wie entscheidend um die neuesten Bedrohungen erfolgreich abzuwehren.
Kommentare
Die neuen Erkenntnisse über Folgeangriffe im Kontext von Ransomware-Attacken verdeutlichen die zunehmende Raffinesse und Aggressivität der Angreifer. Unternehmen müssen sich der vielfältigen Bedrohungen bewusst sein und ihre Abwehrmaßnahmen identisch anpassen um sich effektiv vor Ransomware & Folgeangriffen zu schützen. Dies erfordert eine ganzheitliche Sicherheitsstrategie die sowie technologische als ebenfalls organisatorische Maßnahmen umfasst und kontinuierlich weiterentwickelt wird um den sich ständig verändernden Bedrohungen einen Schritt voraus zu sein.