Security

Ransomware HardBit 2.0

Ransomware-Erpresser passen sich Versicherungssumme an

28.02.2023
Von 
Peter Marwan lotet kontinuierlich aus, welche Chancen neue Technologien in den Bereichen IT-Security, Cloud, Netzwerk und Rechenzentren dem ITK-Channel bieten. Themen rund um Einhaltung von Richtlinien und Gesetzen bei der Nutzung der neuen Angebote durch Reseller oder Kunden greift er ebenfalls gerne auf. Da durch die Entwicklung der vergangenen Jahre lukrative Nischen für europäische Anbieter entstanden sind, die im IT-Channel noch wenig bekannt sind, gilt ihnen ein besonderes Augenmerk.
Alle Artikel des Autors
Email: Connect:
Experten der Varonis Threat Labs haben eine neue Ransomware-Taktik identifiziert. Die Ransomware-Gruppe HardBit 2.0 fragt Opfer gezielt nach deren Cyberversicherung und verspricht, ihre Forderungen so anzupassen, dass der Versicherer die Kosten gerade noch übernimmt.
"Hey, wir haben Dich zwar angegriffen, aber eigentlich wollen wir Dir nichts Böses - sondern nur das Geld Deiner Cyberversicherung." Mit diesem Ansatz versuchen Kriminelle der Gruppe HardBit ihre Opfer zu überreden, Daten zu ihrer Cyberversicherung herauszugeben.
"Hey, wir haben Dich zwar angegriffen, aber eigentlich wollen wir Dir nichts Böses - sondern nur das Geld Deiner Cyberversicherung." Mit diesem Ansatz versuchen Kriminelle der Gruppe HardBit ihre Opfer zu überreden, Daten zu ihrer Cyberversicherung herauszugeben.
Foto: Varonis

Die Frage, ob man gut versichert ist und vor allem, wie man versichert ist, kannte man bisher nur von Versicherungsvertretern. Und man konnte sicher sein, dass sie eine klaffende Versicherungslücke finden, die es unbedingt zu schließen gilt oder für eine bestehende Versicherung eine vermeintlich günstigere Ersatzversicherung aus dem eigenen Portfolio anbieten können - wobei nur ganz zufällig für sie eine interessante Vermittlungsprovision anfällt.

Schwierig wurde es in letzter Zeit mit Cyberversicherungen. Die Versicherer hatten sich da ziemlich verkalkuliert und ruderten zurück. Einer Mitteilung der Allianz-Tochter "Allianz Global Coporate & Specialty" (AGCS) von Oktober 2022 zufolge müssen Unternehmen bis Ende 2023 damit rechnen, dass Ransomware Schäden in Höhe von 30 Milliarden Dollar verursachen wird. Die Hälfte der Versicherungsansprüche bei Cyberversicherungen, in die AGCS Einblick hatte, entstanden durch Ransomware-Angriffe. Zahlreiche Versicherungen haben deshalb die Versicherungsbeiträge erhöht.

Versicherer sind bei Cyberversicherungen vorsichtiger geworden

Außerdem prüfen sie die IT-Security-Strukturen von Firmen intensiver, die sich bei ihnen versichern lassen wollen. Denn Versicherungen sichern immer nur das Restrisiko ab - in dem Fall also das was passiert, wenn zuvor alles nach dem Stand der Technik getan wurde, damit möglichst nichts passiert. In Deutschland lehnt beispielsweise die Allianz-Tochter drei Viertel der Anfragen ab, weil die vorhandenen Maßnahmen nicht ausreichen.

Außerdem haben viele Versicherer ihre Richtlinien für Cyberversicherungen angepasst. Kunden müssen daher künftig mit einer höheren Selbstbeteiligung rechnen. Das könnte sie motivieren, umfangreichere Maßnahmen zu ergreifen, da der zu erwartende wirtschaftliche Schaden größer wird.

Angreifer hoffen auf das Stockholm-Syndrom

Das gefällt offenbar den Angreifern nicht. Und sie haben reagiert. Security-Forscher von Varonis haben jetzt festgestellt, dass eine von ihnen seit Oktober 2022 beobachtete und HardBit genannte Gruppe jetzt an ihre Opfer keine konkreten Lösegeldforderungen mehr stellt, sondern sie auffordert, Details der Cyberversicherungspolice zu nennen. Wenn der Versicherungsbetrag bekannt sei, dann werde man sich mit der Versicherung schon einig, versichern die Kriminellen. Sie spekulieren also darauf, dass Unternehmen der Schaden ihrer Versicherung egal ist - so lange sie nur selbst ungeschoren davonkommen.

Die Hintermänner von HardBit locken: "Wenn Sie uns anonym mitteilen, dass Ihr Unternehmen für 10 Millionen Dollar versichert ist, und andere wichtige Angaben zum Versicherungsschutz machen, verlangen wir in der Korrespondenz mit dem Versicherungsagenten nicht mehr als 10 Millionen Dollar. Auf diese Weise könnten Sie einen Leak vermeiden und Ihre Informationen entschlüsseln."

Sie versuchen also, ihre Opfer auf ihre Seite zu ziehen - und spekulieren darauf, dass gegen Versicherungen jeder so seine Vorbehalte hat: "Aber da der hinterhältige Versicherungsvertreter absichtlich so verhandelt, dass er nicht für den Versicherungsanspruch zahlt, gewinnt in dieser Situation nur die Versicherungsgesellschaft. Um all dies zu vermeiden und das Geld von der Versicherung zu bekommen, sollten Sie uns anonym über die Bedingungen des Versicherungsschutzes informieren. Die armen Multimillionäre unter den Versicherern werden nicht verhungern und durch die Zahlung des im Vertrag festgelegten Höchstbetrags nicht ärmer werden. […] Lassen Sie sie also dank unseres Zusammenwirkens die in Ihrem Versicherungsvertrag vorgeschriebenen Bedingungen erfüllen."

Varonis weist darauf hin, dass es keine gute Idee ist, dieses Angebot anzunehmen. "In aller Regel sind die Versicherten vertraglich verpflichtet, den Angreifern keine Versicherungsdaten mitzuteilen, da sonst die Gefahr besteht, dass der Schaden nicht übernommen wird. Aus diesem Grund bestehen die Cyberkriminellen darauf, dass diese Daten anonym weitergegeben werden. Ihr Ziel ist und bleibt die Erpressung von Geld und betroffene Unternehmen sind gut beraten, ihnen nicht zu vertrauen." Technische Details zum Angriff mit HardBit 2.0 sowie Indicators of Compromise (IoCs) finden Intressierte in einem Blog-Beitrag von Varonis.

Mehr zum Thema

Cyberpolicen werden für Versicherer zum Verlustgeschäft

Neue Ära der Cyberrisiken erfordert neuen Versicherungsansatz

Nur erkannte Gefahren lassen sich bannen

Mit der Richtlinie VdS 10000 Informationssicherheit managen

Zur Startseite