Kaum eine Gattung von Malware beschäftigte die Öffentlichkeit in den letzten Jahren stärker als Erpressungstrojaner. Firmen, Krankenhäuser und ganze Stadtverwaltungen waren plötzlich von Schädlingen lahmgelegt, die wichtige Dateien verschlüsselten und Lösegeld für ihre Freigabe erzwingen sollten. Mitunter kam es zu Millionenzahlungen aus Mangel an Alternativen.

Doch möglicherweise sind viele Opfer trotz der weggesperrten Daten nicht bereit, den Hintermännern Geld zu schicken. Denn eine der Gruppen greift nun zu einer neuen Strategie: Bloßstellung.

Dokumente veröffentlicht

Die Verantwortlichen für die "Maze"-Ransomware haben nun eine Website eingerichtet, um ihre Opfer öffentlich zur Schau zu stellen. Auf der "Public Shaming"-Liste sollen jene Firmen landen, denen man die Ransomware erfolgreich unterjubeln konnte, die sich aber weigern, sich "freizukaufen".

Der Sicherheitsexperte Brian Krebs konnte zumindest bei einer der bereits aufgeführten Unternehmen verifizieren, dass dieses kürzlich von einer Maze-Infektion betroffen war. Die Cyberkriminellen liefern aber auch selbst Informationen. So schreiben sie zu jedem Eintrag dazu, wann die Malware-Infektion begonnen hat und wie viele Gigabyte an Dateien man abgegriffen und verschlüsselt hat. Zudem veröffentlicht man Auszugsweise Dokumente, die aus dem Datenbestand stammen sollen und auch die Namen und IP-Adressen der jeweiligen Server.

Nachahmung wahrscheinlich

Maze ist der erste bekanntere Fall, in dem die oft von der Malware übermittelte Drohung, dass Daten veröffentlicht werden, auch wahrgemacht wird. Ende November stellte man 700 MB an Daten des Unternehmens Allied Universal in ein einschlägiges Forum, nachdem die Firma kein Lösegeld zahlen wollte.

Die Gruppe dürfte mit ihrer Strategie auch nicht lange alleine bleiben. Auch die Gruppe hinter der "rEvil"-Ransomware hat bereits angekündigt, künftig gestohlene Daten öffentlich zu machen, um den Zahlungsdruck auf ihre Opfer zu erhöhen.

Ein weiterer Effekt könnte ebenfalls eine Rolle spielen. Firmen, die entgegen gesetzlicher Richtlinien Datenlecks nicht den Behörden melden, könnten durch eine nachträgliche Veröffentlichung durch die Erpresser empfindliche Strafen drohen, was ihre "Zahlungsmoral" gegenüber den Erpressern potenziell erhöht. (gpi, 17.12.2019)