Wie jeder kluge Unternehmer wissen auch gewiefte Bedrohungsakteure, dass ihr Geschäft nur so erfolgreich ist wie ihre neueste Innovation. Und wenn es darum geht, ungesicherte Organisationen von ihrem Geld zu trennen, gibt es Innovationen am laufenden Band. Die neueste ist die sogenannte Dreifach-Erpressung (Triple Extortion).
Christian Syrbe, Chief Solutions Architect bei Netscout, erklärt, was hinter dem Namen steckt und was Unternehmen wissen müssen: „Dreifach-Erpressungs-Angriffe bestehen aus der Integration von DDoS-Angriffen (Distributed-Denial-of-Service) in ein RaaS-Portfolio (Ransomware-as-a-Service). So gehen die Hacker vor:
- Verschlüsselung. Bei der traditionellen Ransomware-Angriffsmethode dringen Cyberkriminelle in ein Netzwerk ein und verschlüsseln wertvolle Daten, so dass diese (und manchmal das gesamte System) für die Opferorganisation nicht mehr verfügbar sind. Die Angreifer fordern dann eine Zahlung für die Entschlüsselung.
- Diebstahl. Hier exfiltrieren die Cyberkriminellen die Daten, bevor sie das Opfer aussperren. Anschliessend drohen sie mit Veröffentlichung und/oder Verkauf der Daten, wenn sie nicht bezahlt werden. Diese zweite Stufe der Erpressung gefährdet auch diejenigen, die Daten mithilfe von Backups wiederherstellen können, aber nun dem Risiko der Datenexposition ausgesetzt sind.
- DDoS-Angriff. Bisher als eigenständige Erpressungsmethode eingesetzt, fügen RaaS-Betreiber sie nun zu ihrer Liste der angebotenen Dienste hinzu. Dadurch wird der Druck auf das Opfer erhöht: Es unterstreicht die Bedrohung und die Aufrechterhaltung der Verfügbarkeit ist ein weiterer Stressfaktor für ein IT-Team, das sich bereits mit den ersten beiden Punkten beschäftigt.
So haben Cyberkriminelle eine Ransomware-Dreierkombination geschaffen, die die Wahrscheinlichkeit einer Zahlung erhöht. Laut Bleeping Computer waren SunCrypt und Ragnor die ersten Anwender dieser Taktik. Seitdem sind andere auf den Zug aufgesprungen, darunter Avaddon und Darkside, die Täter des Colonial Pipeline-Vorfalls in den USA. DDoS-Angriffe sind billig sowie einfach zu starten, deshalb ist die Inkludierung in das immer ausgeklügeltere Arsenal von Ransomware-Betreibern logisch. Wir beobachten sogar, dass sie das Äquivalent eines Support-Centers einrichten, um den Opfern – nicht nur Unternehmen, sondern auch Regierungen, Schulen und öffentliche Infrastrukturen – bei der Entschlüsselung zu helfen. Potenzielle Ziele sollten grundlegende Schutzmassnahmen halten und Netzwerkeinbrüche vermeiden, etwa durch Schulungen und Netzwerk- und Cybersecurity-Lösungen zur Erkennung von Indicators of Compromise (IoCs). Sie müssen wertvolle Daten sichern und Pläne zur Datenwiederherstellung testen. Ausserdem helfen kontinuierliche Bedrohungsdaten, Vorboten eines Angriffs zu erkennen oder zu untersuchen. Letztlich ist angemessener DDoS-Schutz unentbehrlich: Eine hybride, intelligente Kombination aus Cloud-basierter und lokaler DDoS-Abwehr ist aktuelle Best Practice.“