Zusammenfassung

Seit Dezember 2019 setzen Ransomware-Betreiber immer häufiger hybride Leakware- und Ransomware-Angriffe ein. Bei diesen Angriffen wird ein klassischer Ransomware-Angriff mit einem Leakware-Angriff kombiniert. Bei einem klassischen Ransomware-Angriff werden die Daten eines Opfers verschlüsselt und erst dann wieder entschlüsselt, nachdem das Opfer ein Lösegeld an die Ransomware-Betreiber gezahlt hat. Bei einem Leakware-Angriff werden die Daten gestohlen. Das Opfer wird damit erpresst, dass die Daten veröffentlicht werden, falls es nicht eine bestimmte Summe zahlt. Bei einem hybriden Leakware- und Ransomware-Angriff werden die Daten eines Opfers gestohlen und anschließend verschlüsselt. Das Opfer wird dann dazu aufgefordert, ein Lösegeld für die Entschlüsselung der Daten zu zahlen. Falls sich das Opfer weigert, das Lösegeld zu zahlen, drohen die Angreifer mit der Veröffentlichung der gestohlenen Daten. Um noch mehr Druck auf das Opfer auszuüben, werden in einigen Fällen auch Geschäftspartner und/oder Kunden des Opfers über die bevorstehende Datenfreigabe informiert.

In diesem Artikel skizzieren wir, wie diese hybriden Leakware- und Ransomware-Angriffe ablaufen, was sie von klassischen Ransomware-Angriffen unterscheidet und wie Sie sich davor schützen können.

Hintergrund

Mit der Zunahme von Kryptowährungen ist Ransomware für Cyberkriminelle interessant geworden. Zwar gab es Ransomware bereits vor Kryptowährungen, doch die Logistik der Lösegeldübergabe wurde durch Kryptowährungen stark vereinfacht.

Laut ID Ransomware, einem kostenlosen Dienst zur Identifizierung von Ransomware, gibt es 928 verschiedene Arten von Ransomware1.

Ransomware wird häufig durch andere Malware verbreitet und implementiert. Ein beliebter Angriffsvektor ist die E-Mail. Die folgende Infektionskette ist typisch für einen Ransomware-Angriff:

Infektionskette eines E-Mail-basierten Ransomware-Angriffs

Die Ransomware-Betreiber handeln aus finanziellen Motiven. Ihre Ransomware verschlüsselt die Daten des Opfers. Die Angreifer entschlüsseln die Daten nur dann, falls das Opfer Lösegeld zahlt.

Die Lösegeldforderungen reichen von einigen Hundert Euro für die Entschlüsselung eines einzelnen Computers über mehrere Tausend Euro für die Entschlüsselung von Computern kleiner Unternehmen bis hin zu Millionen Euro für die Entschlüsselung von Computern großer Unternehmen und/oder Regierungseinrichtungen. Die höchste jemals gezahlte Lösegeldsumme, die öffentlich bekannt ist, betrug 4,5 Millionen Dollar. Sie wurde von dem US-amerikanischen Reiseanbieter CWT gezahlt2.

Klassische Ransomware

Bei einem klassischen Ransomware-Angriff laufen die Interaktion und der Informationsfluss wie folgt ab:

Ablauf der Interaktion bei Ransomware-Angriffen

Neue Mischform aus Leakware und Ransomware

Seit Dezember 2019 kombinieren Betreiber der Maze-Ransomware einen früheren Angriff, der als Leakware bekannt ist, mit Ransomware.

Bei einem Leakware-Angriff werden Daten des Opfers gestohlen. Anschließend drohen die Angreifer damit, diese Daten zu veröffentlichen, falls das Opfer kein Lösegeld zahlt. Leakware ist also das Gegenteil von Ransomware. Falls das Opfer nicht zahlt, wird dem Opfer nicht der Zugang zu den Daten verwehrt, sondern die Daten werden der Öffentlichkeit zugänglich gemacht.

Bei dieser neuen Mischform werden Leakware und Ransomware miteinander kombiniert. Dazu lesen die Ransomware-Betreiber die Daten des Opfers aus, bevor sie diese mit Ransomware verschlüsseln. Anschließend drohen die Betreiber damit, die Daten zu veröffentlichen, falls das Opfer sich weigert, das Lösegeld zu zahlen.

Darüber hinaus wenden sich einige Ransomware-Betreiber an die Geschäftspartner oder Kunden des Opfers, deren Daten oft ebenfalls unter den zu veröffentlichenden Daten sind. Die Betreiber der Clop-Ransomware sind bekannt dafür. So soll der Druck auf das Opfer zur Zahlung des Lösegeldes erhöht werden.

Die Interaktion und der Informationsfluss bei der der neuen Mischform aus Leakware und Ransomware sind wie folgt:

Ablauf der Interaktion bei Ranshameware

Selbst wenn die Opfer das Lösegeld zahlen, gibt es keine Garantie dafür, dass die gestohlenen Daten auch wieder gelöscht werden – dies ist nur das lose Versprechen der Kriminellen. Die gestohlenen Daten könnten in der Schattenwirtschaft verkauft, bei künftigen Angriffen verwendet und sogar dazu genutzt werden, dasselbe Opfer mit denselben Daten zu einem späteren Zeitpunkt erneut zu erpressen.

Beispiel: Clop-Ransomware

Am Beispiel der Clop-Ransomware skizzieren wir, wie ein hybrider Leakware- und Ransomware-Angriff abläuft.

Die Clop-Ransomware wird von einem Akteur betrieben, der unter dem Namen TA505 bekannt ist. Hornetsecurity hat bereits über diese Aktivitäten berichtet3. Der erste Zugang erfolgt über eine Schad-E-Mail. TA505 betreibt Großwildjagd. Er greift gezielt große Unternehmen mit hohen Einnahmen an. Falls ein Empfänger die E-Mail öffnet und die Anweisungen befolgt, die meist den Download eines bösartigen Dokuments und das Zulassen der Ausführung von Makros beinhalten, wird er zum Opfer. DerMakro-Code lädt dann einen Remote-Administration-Trojaner (RAT) herunter. Dieser RAT ermöglicht den Angreifern den Fernzugriff auf den Computer des Opfers. Der RAT wird dann dazu verwendet, sich seitlich innerhalb des Unternehmensnetzwerks des Opfers zu bewegen und zusätzliche Informationen zu sammeln. Darüber hinaus werden häufig auch andere Tools (z. B. aus dem Cobalt-Strike-Framework) eingesetzt, um Domain-Administrator-Rechte zu erhalten. Anschließend werden wertvolle Daten ausgelesen. Aus vergangenen Fällen wissen wir, dass unter diesen Daten in der Regel der gesamte Inhalt der freigegebenen Laufwerke des infizierten Unternehmens ist. Die Clop-Ransomware wird schließlich unternehmensweit eingesetzt, um so viele Systeme wie möglich zu verschlüsseln und unbrauchbar zu machen, damit das Unternehmen möglichst stark beeinträchtigt wird.

Die Betreiber der Clop-Ransomware leiten das Opfer zu einer Website mit der Lösegeldforderung, die auf einem versteckten Tor-Dienst gehostet wird. Die Website mit der Lösegeldforderung enthält Informationen zum Lösegeld und zur Zahlung.

Clop-Decryptor-Website

Je nach Unternehmensgröße und geschätzten Einnahmen liegt das geforderte Lösegeld oft in Millionenhöhe. Auch hier betreibt TA505 Großwildjagd. Er wird nimmt also nur große Unternehmen mit hohen Einnahmen ins Visier. Die Website mit der Lösegeldforderung enthält einen Timer und die Drohung, dass der Preis verdoppelt wird, sofern das Lösegeld nicht rechtzeitig gezahlt wird.

Um dem Opfer zu beweisen, dass Dateien entschlüsselt werden können, wird auf der Website auch eine Probe-Entschlüsselung angeboten.

Probe-Entschlüsselung der Clop-Decryptor-Website

Auf der Website gibt es auch einen Support-Chat. Diese Chats werden häufig genutzt, um über das Lösegeld, die Zahlungsraten oder Fristverlängerungen zu verhandeln.

Chat-Unterstützung der Clop-Decryptor-Website

Falls ein Opfer die Zahlung verweigert oder keine Verhandlungen aufnimmt, beginnen die Ransomware-Betreiber damit, massenhaft E-Mails an die Geschäftspartner und/oder Kunden des Opfers zu versenden. Hier ist ein Beispiel für eine solche E-Mail, die von den Clop-Ransomware-Betreibern versandt wurde:

Clop-Benachrichtigungs-E-Mail

Die angehängte Datei „list.txt“ enthält eine Liste der Windows-Domänen und der entsprechenden Netzwerkfreigaben, aus denen die Clop-Ransomware-Betreiber Daten ausgelesen haben. Die Links in der E-Mail verweisen auf die Clop-Leak-Website, auf der die gestohlenen Daten geteilt werden.

Die Clop-Leak-Website trägt die Überschrift „CL0P^_- LEAKS“. Dort werden derzeit 13 Opfer aufgeführt. Hier ist ein Beispiel für eine Ansicht gestohlener Daten:

Clop-Leak-Website

Liste der Leak-Websites

Aktuell gibt es Leak-Websites für 13 verschiedene Ransomware-Operationen. Die Verteilung der Opfer auf die einzelnen Leak-Websites ist in der folgenden Grafik dargestellt:

Verteilung von Opfern auf Clop-Leak-Websites

Maze

Die Leak-Website der Maze-Ransomware listet mit 220 Einträgen die meisten Opfer auf. Die Betreiber der Maze-Ransomware haben anscheinend so viele potenzielle Opfer, dass sie das sogenannte Maze-Kartell bilden konnten. In diesem Kartell wird anderen Ransomware-Betreibern bei einem Cyberangriff geholfen, sofern der Gewinn geteilt wird.

Maze-Leak-Website

Interessanterweise ist die Maze-Leak-Website auch im Clear Web und nicht nur über einen versteckten Dienst zugänglich.

REvil / Sodinokibi

Die zweitgrößte Ransomware mit einer Leak-Website ist REvil Die Website trägt den Namen „Happy Blog“ und enthält Daten von 67 Opfern.

REvil-Leak-Website

Im Juni 2020 begannen die Betreiber der REvil-Ransomware damit, gestohlene Daten zu versteigern:

REvil-Versteigerung

Die Auktions-Website enthält jedoch keine Informationen darüber, wie man bieten kann. Wahrscheinlich handelt es sich hierbei nur um einen weiteren Mechanismus, der die Aufmerksamkeit der Medien auf sich ziehen soll, um Unternehmen einzuschüchtern und zur Zahlung zu bewegen.

DoppelPaymer

Mit Daten von 59 Opfern belegt die Leak-Website „Doppel leaks“ der DoppelPaymer-Ransomware den dritten Platz.

DoppelPaymer-Leak-Website

Die Website ist auch über eine Domain im Clear Web zugänglich.

Conti

Die Leak-Website „Conti News“ der neuen Conti-Ransomware hat bereits Daten von 43 Opfern veröffentlicht. Nach den derzeitigen Erkenntnissen scheint die Conti-Ransomware der Nachfolger der berüchtigten Ryuk-Ransomware zu sein.

Conti-Leak-Website Conti-Leak-Website

Die Website ist auch über eine Domain im Clear Web zugänglich.

Nach Maze ist Conti derzeit die Ransomware mit der am schnellsten wachsenden Opferzahl. Teilweise werden bis zu zehn neue Opfer pro Tag verzeichnet. Hierbei ist anzumerken, dass auf den Leak-Websites nur Opfer veröffentlicht werden, die sich weigern, das Lösegeld zu zahlen.

NetWalker

Die Daten von 37 Opfern der NetWalker-Ransomware wurden auf der Leak-Website „NetWalker Blog“ veröffentlicht.

NetWalker-Leak-Website

Mespinoza / Pysa

Die Ransomware Mespinoza, auch bekannt als Pysa, hat eine Leak-Website mit dem Titel „Pysas Partner“. Sie enthält Daten von 28 Opfern.

Mespinoza-Leak-Website

Nephilim

Die Leak-Website der Ransomware Nephilim heißt „Corporate Leaks“ und enthält Daten von 16 Opfern.

Nephilim-Leak-Website

RagnarLocker

Die Leak-Website der Ransomware RagnarLocker trägt den Titel „RAGNAR LEAKS NEWS“. Sie enthält Daten von 14 Opfern.

RagnarLocker-Leak-Website

SunCrypt

Die Leak-Website der Ransomware SunCrypt heißt einfach „News“. Forscher konnten sich mit den Betreibern der Website in Verbindung setzen und bestätigen, dass die Leak-Website mit der Ransomware SunCrypt in Verbindung steht. Die Leak-Website enthält Daten von neun Opfern.

SunCrypt-Leak-Website

Sekhmet

Die Leak-Website der Ransomware Sekhmet heißt „Sekhmet Leaks.“ und ist über eine Adresse im Clear Web erreichbar. Aktuell enthält sie Daten von acht Opfern.

Sekhmet leak site

Avaddon

Bei der ersten Avaddon-Kampagne, die von Hornetsecurity beobachtet wurde4, wurden keine Daten ausgelesen. Bei der Kampagne wurde Avaddon über das Phorpiex-Botnet verbreitet und die Verschlüsselung der Daten der Opfer lief voll automatisiert ab. Die Kampagne war also nicht auf lukrative Opfer ausgerichtet, deren Daten-Leaks viel Geld einbringen würden. Seither wurde Avaddon jedoch in verschiedenen Kampagnen eingesetzt. Die dazugehörige Leak-Website mit dem Titel „Avaddon Info“ beinhaltet derzeit Daten von vier Opfern.

Avaddon-Leak-Website

Darkside

Eine sehr neue Leak-Website ist die Leak-Website „Darkside“ der Darkside-Ransomware. Die Website enthält Daten von zwei Opfern.

MedusaLocker / AKO

Für die Ransomware MedusaLocker gab es ebenfalls eine Leak-Website, die zwischenzeitlich Daten von sieben Opfern enthielt.

MedusaLocker-Leak-Website

Gegenwärtig enthält die Website jedoch nur eine „coming soon“-Nachricht und keine veröffentlichten Inhalte von Opfern. Es scheint, dass die Website derzeit umstrukturiert wird.

Nemty

Auch für die Ransomware Nemty gab es eine Leak-Website. Die Website war über eine Domain im Clear Web erreichbar. Derzeit ist sie aber nicht mehr erreichbar.

ProLock

Hornetsecurity hat bereits die Ransomware ProLock analysiert, die nach eigener Aussage sensible Daten gesammelt hat und diese veröffentlichen würde, falls sich die Opfer weigern zu zahlen5. Bisher wurde jedoch noch keine ProLock-Leak-Website entdeckt.

Schlussfolgerungen und Gegenmaßnahmen

Die neuartigen hybriden Leakware- und Ransomware-Angriffe machen Malware-Infektionen für Unternehmen gefährlicher als je zuvor. Gute Backups helfen zwar gegen klassische Ransomware-Angriffe, bieten aber keinen Schutz davor, dass private und/oder vertrauliche Daten an die Öffentlichkeit gelangen. Dass Geschäftspartner und Kunden im großen Stil über den Datenverlust informiert werden, fügt den Opfern weiteren Schaden zu und schädigt ihren Ruf als Geschäftspartner und Kunden. Darüber hinaus erhalten Konkurrenten uneingeschränkten Zugang zu internen Dokumenten wie Verträgen, der Preisgestaltung, Forschungs- und Entwicklungsergebnissen.

Im Allgemeinen schützt vor hybriden Leakware- und Ransomware-Angriffen nur die Investition in wirksame IT-Sicherheit. Im E-Mail-Bereich bieten [Spam and Malware Protection] (https://www.hornetsecurity.com/en/services/spam-filter/) und [Advanced Threat Protection] (https://www.hornetsecurity.com/en/services/advanced-threat-protection/) von Hornetsecurity Schutz vor hybriden Leakware- und Ransomware-Angriffen, die E-Mails als ersten Infektionsvektor verwenden. Die Services schützen gleichermaßen vor klassischen Ransomware-Angriffen, die diesen Zugangsvektor nutzen. Dabei werden die Angriffe bereits am Anfang der Angriffskette abgewehrt, bevor die Angreifer überhaupt einen ersten Zugang zu Ihren Systemen erhalten können.

Quellen