Ransomware-Gangs bauen ihre Erpressungsstrategien weiter aus

Die Macher von "Maze" teilen ihre Public-Shaming-Website mit anderen Gangs. Die "REvil"-Gang verschachert derweil kopierte (Promi-)Daten an den Meistbietenden.

Lesezeit: 4 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 31 Beiträge
Teamwork und Versteigerungen: Ransomware-Gangs verbessern Erpressungsstrategien

(Bild: New Africa / Shutterstock)

Inhaltsverzeichnis

Bereits seit Ende 2019 verfolgen "erfolgreiche" Ransomware-Gangs wie etwa die Macher von Maze, Sodinokibi aka REvil, DoppelPaymer oder neuerdings auch Ragnar Locker eine modifizierte Erpressungsstrategie: Sie setzen nicht länger nur auf das Verschlüsseln von Daten, sondern kopieren diese zusätzlich auch von den infizierten Systemen. Um den Druck auf ihre Opfer zu erhöhen, drohen sie anschließend mit der Veröffentlichung sensibler Dokumente in Untergrundforen oder auf eigens dafür eingerichteten "Public Shaming"-Websites.

Das Abgreifen von Daten beschert den Gangs darüber hinaus auch noch die Möglichkeit, Firmenkunden direkt zu kontaktieren – so geschehen kürzlich bei einem Ransomware-Angriff auf die Technischen Werke Ludwigshafen. Schlagen alle Erpressungsversuche fehl (oder auch nicht), bleibt der Verkauf der Daten in Untergrundforen und/oder der Missbrauch für Phishing-Angriffe mit dem Ziel, die eigene Malware weiterzuverbreiten.

Einige Gangs bauen vorhandene Public-Shaming- und Verkaufsstrategien derzeit weiter aus: Sicherheitsforscher berichten, dass die "Maze"-Gang ihre Public-Shaming-Website für weitere Gruppen geöffnet hat, die dort ebenfalls ihre kopierte Daten veröffentlichen. Und auch bei der Erpresser-Crew um Sodinokibi/REvil gibt es Neuigkeiten: Sie versteigert sensible Daten, darunter wohl auch Daten von Prominenten, im Rahmen von Online-Auktionen auf ihrer eigenen Website.

Über eine Zusammenarbeit zwischen der "Maze"-und der "LockBit"-Gang, die ein Ransomware-as-a-Service-Modell verfolgt, berichtet Bleeping Computer. Maze veröffentlichte demnach von LockBit kopierte Daten auf der Gang-eigenen Leak-Website. Die Gruppe bestätigte die Zusammenarbeit gegenüber Bleeping Computer und kündigte darüber hinaus an, die eigene Plattform sowie die im Ransomware-"Business" gesammelten Erfahrungen auch noch mit einer weiteren Gruppe teilen zu wollen. Man betrachte andere Gangs nicht als Konkurrenten, sondern als Partner.

Die Frage, ob Maze von der Zusammenarbeit auch finanziell profitiere, etwa in Gestalt eines Anteils an gezahlten Lösegeldern, wollte die Gang nicht beantworten.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Die Gang um Sodinokibi aka REvil wiederum nutzt laut IT-Sicherheitsblogger Brian Krebs ihren so genannten "Happy Blog" im Darknet neuerdings für die Versteigerung kopierter Unternehmensdaten. Unter den virtuellen Hammer sollen dort zunächst Daten eines kanadischen Landwirtschaftsunternehmens gekommen sein, das sich offenbar nicht erpressen lassen wollte.

Die REvil-Gang hatte vor ein paar Wochen erfolgreich die New Yorker Anwaltskanzlei Grubman Shire Meiselas & Sacks angegriffen und anschließend vergeblich 42 Millionen US-Dollar für kopierte Promi-Daten gefordert. Besagte Daten könnten nun durchaus im "Happy Blog" versteigert werden. Zum Beweis der Existenz dieser Daten leakte die Gang bereits zuvor einige wenige Dokumente von Popstars wie Madonna, Lady Gaga oder Christina Aguilera.

Allerdings könnte es sich hier zumindest teilweise auch um einen Bluff handeln: Wie Infosecurity Magazine berichtete, hatte die Gang nämlich schon für Ende Mai eine Versteigerung von vertraulichen Madonna-Daten angekündigt – die Auktion habe jedoch nie stattgefunden. Auch über Donald Trump will die Gang kompromittierende Informationen besitzen. Kunde bei Grubman Shire Meiselas & Sacks war dieser allerdings nie.

(Bild: krebsonsecurity.com)

Brian Krebs hält es für möglich, dass die Ransomware-Macher im Zuge der Coronavirus-Pandemie verstärkt nach neuen Wegen suchen, um aus gelungenen Angriffen Profit zu schlagen. Denn Unternehmen, denen es wirtschaftlich schlecht geht, sind mitunter gar nicht in der Lage, das geforderte Lösegeld sofort zu zahlen.

Ein Rückgang der Einnahmen von Ransomware-Gangs im Zuge "regulärer" Erpressungen könnte den neu entdeckten Teamgeist von Maze und Co. ebenso erklären wie die stärkere Fokussierung auf den Verkauf von Daten. Und er könnte auch ein Grund dafür sein, dass die Gangs ihren zu Beginn der Corona-Krise geäußerten Absichten, medizinische (Foschungs-)Einrichtungen zu verschonen, nun doch zuwiderhandeln und eben solche (als potenziell besonders lukrative Ziele) besonders häufig attackieren. (ovw)