Das Geschäft mit Ransomware hat über die Jahre bereits einige Wandlungen durchlebt. Wurden zunächst einfach massenhaft – und relative wahllos – PCs angegriffen, schwenkte die Branche bald auf gezieltere Attacken gegen Firmen und Behörden um. Immerhin ist dort die Chance erheblich höher, dass jemand das geforderte Lösegeld auch zahlt. Nun zeichnet sich ein weiterer Schwenk ab – und zwar einer, durch den eines der zentralen Merkmale solcher Attacken verloren geht.

Wozu noch verschlüsseln?

Ransomware-Gruppen verzichten bei ihren Angriffen zunehmend auf die Verschlüsselung der Daten, berichtet "The Register". Was zunächst paradox klingen mag, ist angesichts anderer aktueller Entwicklungen durchaus folgerichtig. So scheint die Drohung mit der Veröffentlichung von Daten das stärkere Mittel zu sein, um die Opfer zur Zahlung zu bringen.

Unter dieser Perspektive bildet die Verschlüsselung und potenzielle Zerstörung von Daten nur mehr einen zusätzlichen Aufwand. Sich ganz auf die Androhung der Publikation interner Informationen zu fokussieren ist aus der Sicht der Angreifer also schlicht effizienter.

Trend

Dass diese Form der Ransomware-Erpressung derzeit stark zunimmt, bestätigt nicht zuletzt Sandra Joyce, Vizepräsidentin der auf die Analyse von Cyberattacken fokussierten Firma Mandiant. Zudem gab es in den vergangenen Monaten bereits Warnungen des FBI und der US-Cybersicherheitsbehörde CISA vor entsprechenden Ransomware-Gruppen.

Beispielhaft

Wie ganz allgemein eine moderne Ransomware-Attacke abläuft, ist derzeit sehr gut bei einer entsprechenden Attacke auf die Uni Innsbruck zu sehen, wo vor kurzem eine Auswahl der erbeuteten Daten auf einem Tor Hidden Service – also umgangssprachlich im "Darknet" – veröffentlicht wurde. Dadurch sind diese zwar nicht ganz einfach öffentlich zugänglich, wer aber mit dem Anonymisierungsnetzwerk Tor umgehen kann und die richtige Adresse weiß, kann recht einfach Einblick in die Daten nehmen.

Gleichzeitig wird dadurch verschleiert, wo die Daten liegen, was in der Praxis üblicherweise verhindert, dass die Veröffentlichung über rechtliche Maßnahmen unterbunden werden kann. All das ist natürlich immer kombiniert mit der Drohung, dass bei Nichtzahlung sämtliche erbeuteten Informationen ins Netz gestellt oder an jemand anderen verkauft werden.

Serviceorientiert

Ein weiterer Trend: Die Erpresser bieten mittlerweile eine Art Rabatt für alle, die besonders schnell zahlen. Gleichzeitig ist es oftmals möglich, sich mit mehr Geld einen besseren "Kundensupport" von den Erpressern zu erkaufen, um Unterstützung bei der Bereinigung der Situation zu erhalten. Selbst Ratenzahlung wird bereits von vielen Erpressergruppen angeboten.

Diese Form der Professionalisierung zeigt nicht zuletzt, welch einträgliches Geschäft Ransomware mittlerweile geworden ist. Denn auch wenn Experten immer wieder eindringlich davor warnen, sich auf solche Forderungen einzulassen, scheinen doch weiterhin viele Betroffene in der Angst vor der Veröffentlichung ihrer Daten im Geheimen zu zahlen. Immerhin haben auch viele Firmen und Institutionen etwas zu verbergen – und seien es nur die eigenen Mängel in Hinblick auf die IT-Sicherheit. (apo, 28.6.2022)