Ransomware-Betreiber können Ihre Daten jetzt stehlen, bevor sie verschlüsselt werden

Zeppelin Ransomware Steals Data Before Encryption

Ransomware hat sich immer wieder als eine der mächtigsten Waffen im Arsenal der Cyberkriminellen erwiesen. Anfänglich müssten Hacker ihre eigene Familie dateiverschlüsselnder Malware erstellen, was nicht gerade ein Spaziergang im Park ist. Derzeit ist es jedoch einfach, kostenlose Sorten zu mieten oder herunterzuladen. Die meisten Benutzer sind sich der Gefahren, die in jeder Ecke des Internets lauern, noch nicht voll bewusst. Dies bedeutet, dass die Infektionsraten in der Regel recht hoch sind und dass viele Benutzer aufgrund der mangelnden Kenntnis keine regelmäßigen Sicherungen ihrer Dateien erstellen. Dies wirkt sich wiederum positiv auf das Gleichgewicht in den Kryptowährungsgeldbörsen der Gauner aus.

Es ist ein bewährtes Geschäftsmodell, das sich für viele bewährt hat. Dies bedeutet jedoch nicht, dass sich die Bedrohung nicht weiterentwickelt. Weit gefehlt.

In der Vergangenheit wurde Ransomware hauptsächlich in Spray-and-Pray-Kampagnen für Privatanwender eingesetzt. In den letzten Monaten haben die Cyberkriminellen jedoch erkannt, dass die Gewinne durch das Treffen mit großen Organisationen höher sein könnten, und der Fokus hat sich etwas verschoben. Cybersicherheitsexperten haben jetzt einen weiteren, besorgniserregenderen Trend festgestellt.

Zeppelin Ransomware stiehlt die Daten von Organisationen, bevor sie verschlüsselt werden

Anfang Dezember beobachteten Morphisec-Forscher einen Angriff auf einen Kunden, der in der Immobilienbranche tätig war. Nach einer genaueren Untersuchung stellten sie fest, dass die Hacker versuchten, das Unternehmen mit der Zeppelin-Ransomware, der neuesten Version der VegaLocker-Ransomware-as-a-Service-Familie, zu infizieren. Die Angreifer nutzten eine Remotedesktopanwendung namens ConnectWise Control (fka ScreenConnect) aus, und im Allgemeinen war die Infektionskette nicht allzu ungewöhnlich.

Die Forscher stellten jedoch fest, dass die Ransomware, sobald sie sich auf einem der Windows-Datenbankserver des Opfers befand, versuchte, eine Kopie der Daten zu erstellen und sie dann an den Command & Control-Server (C & C) der Gauner zu senden. Danach versuchte es, sich weiter im Netzwerk zu verbreiten, und stellte schließlich das Dateiverschlüsselungsmodul bereit.

Mit anderen Worten, die Zeppelin-Ransomware hat versucht, die Unternehmensdaten zu stehlen, bevor sie gesperrt und als Lösegeld zurückgehalten wurden. Laut Catalin Cimpanu von ZDNet ist dies bei weitem nicht der einzige Ransomware-Stamm, der solche Taktiken einsetzt. Er sagte, dass auch Angreifer, die die Ransomware-Beispiele Maze, REvil und Snatch verwenden, ähnliche Aktivitäten unternommen hätten. Aber warum haben sie plötzlich entschieden, dass dies eine gute Idee ist?

Ein zuverlässigerer Wiederherstellungsmechanismus

Wenn Sie darüber nachdenken, ist es für Hacker sehr sinnvoll, die Dateien zu stehlen, bevor Sie sie verschlüsseln und ein Lösegeld verlangen. Sie laufen tatsächlich Gefahr, Verdacht zu erregen, während sie versuchen, eine Menge Daten zu exfiltrieren, aber die Wahrscheinlichkeit, erwischt zu werden, ist normalerweise nicht so hoch. Und wenn Sie sich die Vorteile des zusätzlichen Schritts ansehen, werden Sie sich sogar fragen, warum sie nicht früher daran gedacht haben.

Bei einem regulären Ransomware-Angriff senden die Opfer Bitcoins an die Brieftasche der Gauner und erwarten im Gegenzug ein Programm, das die gesperrten Dateien entschlüsselt. In einigen Fällen nehmen die Gauner einfach das Geld und rennen davon, aber es gibt viele Ransomware-Betreiber, die wirklich die Absicht haben, den Opfern ihre Daten zurückzugeben, sobald sie die Zahlung erhalten haben. Sie müssen zwar ihre eigenen Entschlüsseler schreiben, aber leider machen sie manchmal Fehler.

Wir haben viele Geschichten von Menschen gehört, die Daten verloren haben, obwohl sie das Lösegeld wegen eines fehlerhaften Entschlüsselungstools bezahlt haben. Die Benutzer sind diejenigen, die Geld und Daten verlieren, aber die Auswirkungen sind auch negativ für die Gauner, die nicht sehr vertrauenswürdig aussehen und daher weniger wahrscheinlich von zukünftigen Opfern bezahlt werden.

Wenn die Hacker jedoch eine Kopie der unverschlüsselten Daten haben, können sie diese einfach nach der Zahlung an die Opfer zurücksenden und sicherstellen, dass die Dinge relativ problemlos wieder normal werden.

Wohlgemerkt, wenn das Opfer ein Backup hat, wäre das alles sinnlos. Es sei denn natürlich, die Hacker drohen, die Daten zu verlieren, wenn das Lösegeld nicht ausgezahlt wird.

Mehr Erpressung

Wie bereits erwähnt, sind die Ziele häufig große Organisationen. Hacker können ihnen keine Urlaubsfotos oder peinlichen Selfies stehlen, aber sie können Geschäftsgeheimnisse und andere äußerst wertvolle Informationen herausfiltern. Und wenn das angegriffene Unternehmen angibt, dass es nicht zahlen wird, weil es Backups hat, können die Gauner leicht drohen, alle sensiblen Daten zu verlieren.

Laut dem Bericht von ZDNet haben Ransomware-Betreiber die gestohlenen Datenbanken bereits als zweiten Erpressungspunkt verwendet, und die Gauner, die die Maze-Ransomware betreiben, haben sogar eine Website erstellt, auf der sie alle Unternehmen auflisten, die sich geweigert haben, das Lösegeld zu zahlen, und deren Daten anschließend offengelegt haben die Gruppe.

Es muss gesagt werden, dass nicht alle Hacking-Crews in der Lage sind, einen solchen destruktiven Angriff abzuwehren. Wenn sie Informationen von vielen verschiedenen Benutzern oder Unternehmen stehlen und verschlüsseln möchten, benötigen sie eine große C & C-Infrastruktur, deren Einrichtung und Wartung teuer werden kann. Wer es jedoch schafft, das richtige Setup zu finden, hat einen klaren Vorteil.

December 19, 2019

Antworten