Foto: meandering images - shutterstock.com
Ransomware ist inzwischen eine der größten Gefahren für Firmennetzwerke. Zudem ist der Schaden für die betroffenen Unternehmen enorm - nicht nur, wegen der ständig steigenden Höhe der Lösegeldforderungen, sondern auch durch den durch den Angriff verursachten Betriebsstillstand, den Verlust von Daten und den enormen Aufwand zur Wiederherstellung - sofern vorher keine ausreichenden Vorkehrungen getroffen wurden.
Betroffen sind Unternehmen und Einrichtungen aus allen Branchen und jeder Größe. Die Liste der jüngsten Oper reicht vom Impfportal der italienischen Region Latium und den Landkreis Anhalt-Bitterfeld in Deutschland über die MSP-Partner von Kaseya und deren Kunden bis zum Betreiber der größten nordamerikanischen Pipeline. In allen Fällen erscheinen die Angreifer als eiskalte, hochqualifizierte und ausgesprochen akribisch arbeitende Profis. Allerdings gibt es immer wieder auch Beispiele dafür, dass selbst scheinbar perfekt geplante Ransomware-Angriffe missraten. Fünf solcher Fälle, hinter denen auch die Olsen-Bande oder die Daltons aus der Comic-Reihe Lucky Luke stecken könnten, haben die Experten von Sophos jetzt zusammengetragen.
Das Sophos Rapid Response Team hat auch eine Erklärung dafür, warum es zu diesen Pannen kommen konnte. "Eine typische Ransomware ist eine ausgefeilte, menschen-geführte Attacke, bei der die Eindringlinge oft mehrere Tage bis zu Wochen im Netzwerk verbleiben, bevor sie ihre Erpressungen starten", so das Unternehmen. "Zu jedem Zeitpunkt könnte der Angriff dabei entdeckt und blockiert werden, und das stresst besonders die Cyberkriminellen, die via Tastatur die Attacke kontrollieren. Sie müssen Taktiken mitten im Einsatz ändern, oder für die geplante Malware-Einsätze einen zweiten Anlauf nehmen, wenn der erste scheitert." Dieser Druck könne dann zu Fehlern führen, denn, so Sophos weiter: "Auch Cybergangster sind schlussendlich nur Menschen."
Top 5 der Ransomware-Pannen
Die Avaddon-Gruppe wurde von einem ihrer Opfer gebeten, die eigenen Daten zu veröffentlichen, weil man einen Teil davon nicht wiederherstellen könne. Die Gruppe setzte ihre Drohung um und veröffentlichte die Opferdaten. Allerdings kam genau dadurch das betroffene Unternehmen wieder in den Besitz seiner Daten.
Der Maze-Gruppe gelang es, eine große Datenmenge von einem Unternehmen zu stehlen - musste dann aber feststellen, dass diese unlesbar waren: Sie waren bereits eine Woche vorher von der Ransomware DoppelPaymer verschlüsselt worden.
Die Hintermänner der Ransomware Conti hatten AnyDesk auf einem infizierten Rechner installiert, um sich Fernzugang zu sichern. Dann rollten sie die Ransomware aus, die alles auf dem Gerät verschlüsselte - darunter natürlich auch AnyDesk.
Die Mount-Locker-Bande konnte nicht verstehen, warum eines ihrer Opfer sich beharrlich weigerte zu zahlen, obwohl sie eine Stichprobe gestohlener Daten geleakt hatten. Allerdings gehörten die veröffentlichen Daten einer anderen Firma.
In einem anderen Fall ließen die Angreifer die Konfigurations-Dateien für den FTP-Server zurück, den sie zur Datenexfiltration nutzten. Damit konnte sich das Opfer dort einloggen und die gestohlenen Daten komplett löschen.
Die 5 größten Ransomware-Attacken
Erfahrungsbericht: Verlauf einer Ransomware-Attacke im Krankenhaus