Dreifachbedrohung: Wie Cyberkriminelle Unternehmen und Kunden erpressen

Ursprünglich bestanden Ransomware-Angriffe nur aus der Verschlüsselung der IT und einer anschließenden Lösegeldforderung. Ab 2019 begannen jedoch erste Hacker-Gruppen damit, massenhaft Daten vor der Verschlüsselung abzuzweigen und den Ransomware-Angriff mit der Erpressung von Schweigegeld zu kombinieren. In diesem Zuge entstanden auch die ersten Leak-Portale, auf denen die Gruppen die Daten bei Verweigerung einer Zahlung veröffentlichten.

Diese Form der sogenannten „Double Extortion“ setzte sich im Jahr 2020 weiter durch und wurde 2021 zum Standard bei Ransomware-Attacken. Hauptgrund dafür war die zunehmende Verbreitung von effektiven Backup-Systemen, mit denen Unternehmen ihre verschlüsselte IT schnell wiederherstellen können. Damit ging ein Druckmittel verloren. Die Drohung, sensible Daten zu veröffentlichen, stärkte hingegen erneut die Verhandlungsposition der Cyberkriminellen.

Die aktuell immer häufiger auftretende Form der Triple Extortion ist die nächste perfide Stufe der Eskalationsspirale. Sie betrifft zunehmend auch Unternehmen und Privatpersonen, die mit der Ransomware-Attacke im engeren Sinne keinen direkten Berührungspunkt haben, aber in einem Verhältnis zu dem angegriffenen Unternehmen stehen – zum Beispiel durch die Inanspruchnahme einer Dienstleistung. Besonders heikel sind zum Beispiel Angriffe auf Finanzdienstleister, Kanzleien oder Gesundheitseinrichtungen, die über sehr sensible Daten verfügen.

Alternativ zu der Erpressung von Dritten mit Hilfe gestohlener Daten nutzen Ransomware-Gruppen als dritten Angriffsvektor auch DDoS-Attacken. Das Opfer des Ransomware-Angriffs wird dadurch zusätzlich unter Druck gesetzt, indem die Überflutung mit Anfragen bestimmte Systeme lahmlegt und die Geschäftsfähigkeit weiter einschränkt. Auch in solchen Fällen ist von einer „Triple Extortion“ die Rede.

Die Ausweitung der Erpressungsmethoden auf die Betroffenen eines Daten-Leaks macht es für die attackierten Unternehmen noch wichtiger, den Angriff schnell und transparent zu kommunizieren. Wenn Kunden erst durch ein Erpressungsschreiben von einem Daten-Leak erfahren, geht damit ein erheblicher Vertrauensverlust einher. Eine offene und transparente Kommunikation schützt hingegen langfristig die Reputation.

Wenn die Angreifer zudem feststellen, dass ein Unternehmen nach dem Angriff nicht den gesetzlichen Meldepflichten nachgekommen ist, haben sie gleich das nächste Ass im Ärmel. Sie verlangen zusätzliche Schweigegelder dafür, um den Vorfall nicht den zuständigen Datenschutz- und Regulierungsbehörden zu melden.

In allen Fällen ist von der Zahlung eines Löse- oder Schweigegelds dringend abzuraten. Es gibt auch nach der Zahlung keine Garantie, dass die Daten nicht doch weiter verbreitet werden. Außerdem gibt es Fälle, in denen die Kriminellen mit der Veröffentlichung von Daten drohen, sie diese Daten aber gar nicht haben.
Die Zahlung von Lösegeldern sollte deshalb nur als letztmögliche Alternative in Betracht gezogen werden. Mit jedem gezahlten Lösegeld wächst schließlich die cyberkriminelle Schattenwirtschaft und kann mit zusätzlichen Ressourcen immer neue hinterhältige Angriffsmethoden entwickeln.

Falls neben den Produktivsystemen auch die Backups verschlüsselt sind, bleibt vielen Unternehmen jedoch kaum eine andere Wahl. Zumindest lässt sich bei einer professionellen Begleitung anhand von Probedateien prüfen, ob verschlüsselte Daten vielleicht doch noch gerettet werden können.