Die Bedrohung durch Ransomware-Attacken nimmt immer weiter zu und Sicherheitsforscher haben nunmehr neue erschreckende Erkenntnisse veröffentlicht: Nach einer erfolgreichen Erpressung durch Ransomware drohen den betroffenen Unternehmen nun ebenfalls noch Folgeangriffe. Diese neuen Angriffe werden von den ursprünglichen Angreifern durchgeführt die sich als "Helfer" ausgeben und eine weitere Gebühr verlangen um die Daten der Opfer zu schützen.
Die Forscher von Artic Wolf haben zwei Fälle dokumentiert, in denen Opfer von Ransomware-Attacken die durch die Verschlüsselungstrojaner Akira & Royal verursacht wurden, mit Folgeangriffen konfrontiert wurden. Die Angreifer gaben sich dabei als Sicherheitsforscher aus und behaupteten, Zugriff auf die Server der Ransomware-Banden zu haben. Sie boten den Opfern an gegen Zahlung eines nicht näher bezifferten Betrages die kopierten internen Daten zu löschen die als Druckmittel veröffentlicht werden sollten.
Die Identität der Angreifer und ihre Motive
Es ist nicht verständlich, ob die Drahtzieher der ursprünglichen Ransomware-Angriffe auch für die Folgeangriffe verantwortlich sind, oder ob es sich um andere Kriminelle handelt die die Situation ausnutzen. Die Unterscheidung zwischen den verschiedenen Ransomware-Gruppen und die Zuordnung von Angriffen zu bestimmten Akteuren ist angesichts von Ransomware-as-a-Service (RaaS) und der Vielzahl von Angreifergruppen äußerst anspruchsvoll.
Die Forscher haben zudem festgestellt, dass es einige Ungereimtheiten gibt. So behauptet die Akira-Gruppe in einem konkreten Fall dass sie gar keine Daten des Opfers kopiert habe vielmehr die Dateien lediglich verschlüsselt habe. Bei der Royal-Ransomware-Attacke haben die Konsequenz-Erpresser zudem die ursprünglichen Angreifer fälschlicherweise einer anderen Gruppe zugeordnet.
Die Herausforderung bei der Bekämpfung von Ransomware
Die Tatsache. Dass Angreifer nun auch nach einer erfolgreichen Ransomware-Attacke Folgeangriffe realisieren, macht die Bekämpfung dieser Bedrohung noch schwieriger. Unternehmen müssen nicht nur ihre Systeme gegen Ransomware absichern, sondern gleichermaßen auf mögliche Folgeangriffe vorbereitet sein.
Es ist wesentlich, dass Unternehmen proaktiv handeln und ihre Sicherheitsmaßnahmen fortlaufend optimieren um sich vor solchen Bedrohungen zu schützen. Dazu gehört neben der Implementierung von robusten Sicherheitslösungen auch die Schulung der Mitarbeiter im Umgang mit verdächtigen E-Mails & Links, da viele Ransomware-Angriffe durch Phishing-E-Mails gestartet werden.
Zusätzlich sollten Unternehmen über eine solide Backup-Strategie verfügen um im Falle einer Ransomware-Attacke ihre Daten wiederherstellen zu können, ohne den Forderungen der Angreifer nachgeben zu müssen. Die Durchführung regelmäßiger Sicherheitsaudits und die Aktualisierung von Sicherheitsrichtlinien sind gleichermaßen ausschlaggebend um die neuesten Bedrohungen erfolgreich abzuwehren.
Kommentare
Die neuen Erkenntnisse über Folgeangriffe im Kontext von Ransomware-Attacken verdeutlichen die zunehmende Raffinesse und Aggressivität der Angreifer. Unternehmen müssen sich der vielfältigen Bedrohungen bewusst sein und ihre Abwehrmaßnahmen demgemäß anpassen um sich wirksam vor Ransomware und Folgeangriffen zu schützen. Dies erfordert eine ganzheitliche Sicherheitsstrategie die gleichermaßen technologische gleichermaßen organisatorische Maßnahmen umfasst und fortlaufend weiterentwickelt wird um den sich ständig verändernden Bedrohungen einen Schritt voraus zu sein.