Bei Angriff Ransomware - Wie verhandel ich mit Cyber Erpressern?

von

Lesezeit: Minuten ( Wörter)

Im Umgang mit Ransomware und den Erpressern hinter der Software ist eine wohlüberlegte Verhandlungsstrategie unverzichtbar

Angriffe mit Ransomware betreffen immer mehr Unternehmen. Cyberkriminelle haben es dabei längst nicht mehr nur auf große Konzerne abgesehen, sondern nehmen vermehrt auch kleine oder mittelständische Firmen ins Fadenkreuz. Ransomware bleibt nach wie vor die gefährlichste Bedrohung für Unternehmen, denn das „Business“ mit Erpressungstrojanern ist für die Cyberkriminellen überaus lukrativ. Während in der Vergangenheit noch einige tausend Euro ausreichten, um die IT-Infrastruktur aus den Fängen der Erpresser zu befreien, liegen die Forderungen aktuell schnell im Millionenbereich. Denn Cyberkriminelle wissen genau, dass viele Unternehmen zur Zahlung der Lösegelder bereit sind – wenn nur die fürs Tagesgeschäft unverzichtbaren Daten wieder verfügbar sind.

Im Umgang mit Ransomware und den Erpressern hinter der Software ist eine wohlüberlegte Verhandlungsstrategie unverzichtbar. Wir zeigen auf, wie die Verhandlungen mit Cyberkriminellen zu führen sind, was Cyberangriffe auslösen können und was Cyberangriffe mit Bitcoins zu tun haben.

Was ist eigentlich Ransomware?

Ransomware ist ein Kofferbegriff aus dem englischen „ransom“ für „Lösegeld“ und „ware“ für im Bereich der Computerprogramme übliche Bezeichnungsschemata (Software, Malware, …). Ransomware wird auch Erpressungstrojaner, Verschlüsselungstrojaner oder Kryptotrojaner genannt. Es handelt sich hier um Schadprogramme, durch die Cyberkriminelle Zugriff auf Computersysteme und die dort gespeicherten Daten erhalten. Der Verschlüsselungstrojaner verhindert den Zugriff des Eigentümers auf die Daten durch Verschlüsselungen – für eine Freigabe der Daten wird dann ein Lösegeld verlangt.

Die Idee der Cybererpressung geht zurück auf das Jahr 1989. In diesem Jahr fand der Schädling AIDS TROJAN DISK seinen Weg auf Computerfestplatten – wie damals gängiger Standard mittels einer infizierten Diskette. Während der erste Schädling noch vergleichsweise harmlos auftrat, sind moderne Erpressungstrojaner eine ernstzunehmende Gefahr. Vor einigen Jahren befiel ein Schadprogramm namens WannaCry in kürzester Zeit mehr als 230.000 Computer in 150 Ländern. Ein Ausmaß, dass das Europäische Polizeiamt als „noch nie dagewesenes Ereignis“ bezeichnete.

So setzen Angreifer Ransomware im Falle einer Cyber Erpressung ein

Verschlüsselungstrojaner gelangen auf den gleichen Wegen wie ein Computervirus in IT-Systeme. Zu den Wegen gehören Datendienste wie Dropbox oder WeShare, präparierte E-Mail Anhänge oder Sicherheitslücken in Webbrowsern. Gängig ist beispielsweise der Versand von Mails, die vorgeben, im Anhang eine Rechnung oder einen Lieferschein zu beinhalten. Natürlich enthält der Anhang – zumeist in Form einer Zip-Datei – keine wichtigen Geschäftsunterlagen, sondern den Erpressungstrojaner. Alternativ behaupten manche der Trojaner, dass wahlweise die GEMA, Microsoft, das BKA oder die Bundespolizei illegale Aktivitäten auf dem Computer festgestellt haben und diesen daraufhin sperren mussten. Besonders aggressive Varianten der Erpressersoftware verschlüsseln Dateien auf dem betroffenen Rechner – und hier bevorzugt die Daten, von denen eine erhöhte Relevanz für den Nutzer angenommen wird. Auf Windows-Rechnern beginnt die Schadsoftware daher üblicherweise im Ordner „Eigene Dateien“. Dort werden Office-Dokumente, Mails, Datenbanken oder Fotos verschlüsselt. Ohne das notwendige Passwort zum Entschlüsseln hat der Benutzer keine Chance mehr, auf die Daten zuzugreifen.

Der befallene Computer ist häufig nicht nur verschlüsselt, sondern kann zusätzlich noch manipuliert sein oder überwacht werden. Betroffene Systeme dürfen daher für keine weiteren Tätigkeiten mehr verwendet werden. Insbesondere Arbeiten, die die Eingabe von Passwörtern verlangen, müssen unbedingt unterbleiben.

Cyber Erpressung – (k)ein Grund zur Panik?

Im Idealfall ist die Antwort auf einen Cyberangriff mit Verschlüsselungstrojanern ein bereits im Vorfeld durchgeplanter, gut strukturierter Disaster Recovery-Plan. Allerdings ist die Wirklichkeit weit vom Idealfall entfernt. Selbst in großen Unternehmen mit einem hauseigenen Incident Response-Team werden regelmäßig nicht alle wichtigen Aspekte beachtet, wenn ein Angriff mit Erpressungstrojanern erfolgt ist. Zu den Aspekten, die im Falle eines Angriffes höchste Relevanz haben, gehören die Kommunikation mit den Kunden, die Dokumentation der Verhandlungen mit den Erpressern oder auch ein ausgearbeiteter Kommunikationsplan für die PR-Abteilung. Und selbst mit gut ausgestalteten Plänen und Prozessen ist in vielen Unternehmen die Panik groß, wenn Ransomware den Geschäftsalltag lahmlegt.

Die neue Masche der Erpresser: Double Extortion

Längst genügt es Cyberkriminellen nicht mehr, „nur“ Dateien oder Netzwerke zu verschlüsseln. Immer mehr Hackergruppen sind dazu übergegangen, Unternehmen mit einer Veröffentlichung sensibelster Daten im Internet zu bedrohen – und so zu einer Zahlung des Lösegeldes zu veranlassen. Diese Taktik wird als „Double Extortion“ bezeichnet und erhöht den Bedrohungsfaktor deutlich! Denn verschlüsselte Daten alleine sind ein großes Ärgernis – im Internet veröffentlichte Betriebsgeheimnisse können im schlimmsten Fall das Ende eines Unternehmens bedeuten.

Jetzt keinen Blogbeitrag mehr verpassen!

  • 12x im Jahr aktuelle News aus der IT Security Welt
  • 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
  • 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense

Was tun, wenn ein Ransomware-Angriff stattgefunden hat?

Ist ein Rechner oder ein Netzwerk von einem Angriff mit Verschlüsselungstrojanern betroffen, müssen zwei Maßnahmen schnellstmöglich durchgeführt werden: Zum einen muss die Sicherheitslücke, über die das Schadprogramm eingedrungen ist, aufgefunden und geschlossen werden, um die Cyberkriminellen aus dem Netzwerk zu verbannen. Zum anderen gilt es, die eingesetzte Verschlüsselungstrojaner-Variante herauszufinden und die Angreifer hinter dem Schadprogramm auf Ihre „Glaubwürdigkeit“ zu überprüfen.

Der erste Punkt wird von der unternehmensinternen Cyber Security übernommen. Für den zweiten Punkt setzen viele Betriebe auf externe Partner, beispielsweise Anwälte. Das Problem dabei: Wenn im Vorfeld kein genauer Plan hinsichtlich der Reaktion auf einen Angriff definiert wurde, wird unnötig viel Zeit verloren.

So agieren externe Anwälte im Falle eines Cyberangriffs

Gemäß der international agierenden Anwaltskanzlei Orrick setzen 75 % aller vom einem Cyberangriff betroffenen Unternehmen auf externe Anwälte, die sich um die Veranlassung folgender notwendiger Maßnahmen kümmern:

• Kontaktaufnahme mit den Strafverfolgungsbehörden
• IT-Forensik beauftragen
• Briefing mit der Führungsetage des betroffenen Unternehmens durchführen
• Mitteilungen für die Kommunikation mit Kunden/Lieferanten/Partnern entwickeln
• Kontaktaufnahme mit der Cyberversicherung des Unternehmens und Kostenübernahme abklären

Die Cyberversicherung sollte immer so schnell wie möglich kontaktiert werden. Denn abhängig von der Police hat die Versicherung unter Umständen ein Mitspracherecht, wenn es um die Beauftragung externer Unterstützung, beispielsweise Cyber Security, geht. Die Zahlung von Lösegeldern obliegt hingegen den Unternehmen – ob die Versicherung hier die Kosten übernimmt, lässt sich nicht allgemeingültig vorhersagen. Bevor Versicherungen die Zahlung von Lösegeldern übernehmen, kommen eine Menge Fragen auf das betroffene Unternehmen zu. Die Zahlungswilligkeit der Versicherungen hängt u.a. vom Status der Backups, der Anzahl betroffener Systeme und dem Zeitraum bis zur Zurücksetzung der IT ab.

Mit Cyberkriminellen verhandeln

Vor jeglicher Kontaktaufnahme mit den Erpressern sollte die unternehmensinterne Cyber Security den Angriff isoliert haben und sicherstellen, dass der Hacker sich nicht mehr im Netzwerk befindet. Denn solange die Angreifer noch Zugriff auf das Netzwerk haben, verfügen sie über ein starkes Druckmittel!

Der zweite Schritt sollte immer lauten: Infos sammeln. Denn wenn ermittelt wird, wer hinter dem Angriff steckt, welche Daten kompromittiert wurden und wie ähnlich gelagerte Angriffe in der Vergangenheit abgelaufen sind, kann eine Strategie zur Verhandlungsführung aufgebaut werden. Wenn Cyberkriminelle beispielsweise 40 oder 50 Unternehmen angreifen, bringen sie in der Regel weniger Geduld auf – einfach weil es mehrere Optionen auf einen „Erfolg“ gibt. Haben sich die Angreifer hingegen auf genau ein Unternehmen eingeschossen, muss völlig anders taktiert werden.

Die Lösegeldforderungen werden mittlerweile von den Cyberkriminellen an die Opferprofile angepasst. Gängig ist eine Forderung von einem bestimmten Prozentsatz des jährlichen Umsatzes des betroffenen Unternehmens. Ganz unabhängig von der Lösegeldforderung muss bei Verhandlungen mit den Erpressern aber immer eines bedacht werden: Emotionen haben in den Verhandlungen nichts zu suchen!

So gehen Sie bei einer Verhandlung mit den Erpressern vor

Die Verhandlungen mit den Cyberkriminellen sollten wie alle anderen Business-Transaktionen objektiv behandelt werden – Emotionen bringen hier nichts. Viele Betroffene, die ohne externe Unterstützung in die Verhandlungen gehen, scheitern an diesem Punkt. Dabei sind Cyberkriminelle, die auf Ransomware setzen, häufig zu Verhandlungen bereit. Es gibt durchaus Fälle, bei denen sich die Lösegeldforderung auf einen kleineren Prozentsatz der ursprünglich geforderten Summe reduzieren ließ. Denn nicht nur die vom Angriff betroffenen Unternehmen, sondern auch die Erpresser stehen unter immensem Zeitdruck! Je länger sich eine Verhandlung in die Länge zieht, desto mehr Zeit bleibt den Opfern, ihre Systeme zurückzusetzen. Eine Statistik besagt, dass zwischen 25 und 30 Prozent aller Lösegelder bezahlt werden – und das wissen Cyberkriminelle natürlich auch.

Bevor eine Zahlung durchgeführt wird, muss das Entschlüsseln der Daten durch die Angreifer bewiesen werden. Hierzu wird meist ein Testdatensatz verwendet. Haben die Angreifer bewiesen, dass sie zur Entschlüsselung der Daten in der Lage sind, kann die Zahlung des Lösegeldes erfolgen. Hierzu wird auf die Anonymität von Kryptowährungen gesetzt, allen voran Bitcoins. Vorteil der Bitcoins für die Erpresser: Es ist schwierig bis unmöglich, aus der Transaktion Rückschlüsse auf den Angreifer oder dessen Standort zu ziehen. Anonymität ist der Schlüssel zum Erfolg der Ransomware-Gruppierungen – und entsprechend gut ausgestattet sind die Cyberkriminellen in diesem Bereich.

Das Monitoring von Untergrund-Marktplätzen oder dem Darkweb muss als Präventivmaßnahme Teil der IT-Security eines Unternehmens werden.

Achtung bei Double Extortion!

Wenn die Erpressung sich nicht nur auf die Verschlüsselung der Daten bezieht, sondern mit einer Veröffentlichung im Internet gedroht wird, ist der Umgang mit einem Cyberangriff wesentlich komplexer. Denn es lässt sich nicht herausfinden, ob die entwendeten Daten nach der Zahlung des Lösegeldes wirklich vernichtet worden sind. In den vergangenen Jahren wurden zahlreiche Unternehmen mehrmals mit den gleichen Daten erpresst – die am Ende trotz mehrfacher Lösegeldzahlungen im Internet veröffentlicht wurden. Das Monitoring von Untergrund-Marktplätzen oder dem Darkweb muss also als Präventivmaßnahme Teil der IT-Security eines Unternehmens werden, um Cyberangriffen immer einen Schritt voraus zu sein.

Fazit

Angriffe mit Ransom-Erpressersoftware gehören zu den effektivsten Mitteln von Cyberkriminellen. Wenn die Schadsoftware einmal ihren Weg in die IT-Infrastruktur gefunden hat, sind schnelle Maßnahmen unverzichtbar. Ob Lösegeld gezahlt wird oder nicht, hängt immer von der Vorbereitung und den betroffenen Daten ab. Die Verhandlungen mit den Erpressern sollten spezialisierten Anwälten oder Sicherheitsunternehmen überlassen werden, damit Emotionen nicht hochkochen und die Verhandlungen zu einem Erfolg führen.

Haben Sie eine Strategie für die Verhandlung mit Erpressern? Kontaktieren Sie uns! Unsere Experten beraten Sie gerne.

Durch Klicken auf die Schaltfläche "Absenden" bestätigen Sie, unsere Richtlinien zum Datenschutz gelesen zu haben. Sie geben Ihr Einverständnis zur Verwendung Ihrer personenbezogenen Daten zu dem von Ihnen angegebenen Zweck der Kontaktaufnahme durch die Allgeier secion, Zweigniederlassung der Allgeier CyRis GmbH.

* Pflichtfeld

Zurück