Ransomware-Gruppen leaken Daten über eigene Plattformen

Matthias Canisius, Regional Director CE & EE bei SentinelOne

Nicht nur Daten verschlüsseln und Unternehmen erpressen, sondern auch das geklaute Datenmaterial über eine eigene Plattformen veröffentlichen, scheint ein neuer Trend der Ransomware-Erpresser zu werden. Ein Kommentar von Matthias Canisius, Regional Director CE & EE bei Sentinelone.

„Meldungen über geschlossene Untergrundmärkte im Darknet sind an sich nichts neues, Plattformen wie Hansa und Alpha Bay wurden 2017 mit Hilfe der Ermittlungsbehörden geschlossen, andere wie Dream Market schlossen ihre Pforten aus eher widersprüchlichen Gründen. Der springende Punkt ist auch nicht, wie diese Anbieter heißen, sondern dass jedes Mal, wenn einer nicht mehr verfügbar ist, sofort ein neuer Dienstleister aufmacht und mit einem ähnlichen Geschäftsmodell Millionen an den illegalen Tätigkeiten seiner Nutzer verdient. Lange Zeit schien es, als wenn Cyberkriminelle ihre erbeuteten Daten vor allem auf solchen Marktplätzen vertreiben würden. Doch die weitere Professionalisierung scheint dieses Schema aufzubrechen.

In letzter Zeit häufen sich Informationen, dass die großen und leider erfolgreichen Ransomware-Betreiber so gefährlicher Schadsoftware wie Maze, Emotet und Trickbot sich einerseits zusammenschließen und andererseits sogar eigene Plattformen zur Veröffentlichung der kopierten Daten ins Leben rufen. Der Begriff hinter dieser Taktik nennt sich „Double Extortion“. Damit ist gemeint, dass die Angreifer einerseits die Daten nach einem Ransomware-Angriff kopieren und dann auch noch bei der Erpressung mit einer Veröffentlichung drohen. Eines der letzten Opfer waren die Technischen Werke Ludwigshafen wie Golem im Mai diesen Jahres berichtete.

Für die Cyberkriminellen bedeutet das Leaken von Informationen über eigene Kanäle mehr Sicherheit, so paradox es klingen mag, aber auch diese Gruppen haben ein ausgesprochen großes Sicherheitsbedürfnis. Durch die Unabhängigkeit von Darknet-Märkten müssen sie sich weniger Sorgen darum machen enttarnt und von den Ermittlungsbehörden gefasst zu werden. Das Kommen und Gehen dieser Marktplätze muss sie also nicht mehr interessieren, zumal die Umsätze wie im Fall des kürzlich geschlossenen Empire Markets auch schnell von den Betreibern der Plattformen sozialisiert werden können.

Setzt sich dieser Trend fort, so müssen Firmen nicht nur fürchten, dass ihre Informationen verschlüsselt werden und unter Umständen verloren sind, sondern auch, dass zunehmend auch personenbezogene und für die Unternehmen selbst sensible Dokumente veröffentlicht werden. Dies zieht dann nicht nur die üblichen DSGVO-Strafen nach sich, sondern erhöht den Reputationsschaden für das Opfer enorm.“

#Sentinelone