Ransomware ist ein ernstzunehmendes Risiko für Unternehmen. Aktuell ist jedoch immer häufiger von Double Extortion Ransomware die Rede. Was ist das, was bedeuten diese Angriffe für Unternehmen und wie können Sie sich schützen? Das verraten wir Ihnen in diesem Blogbeitrag.
Was ist Double Extortion Ransomware?
Double Extortion bedeutet übersetzt “doppelte Erpressung“. Dabei wird nicht unbedingt mehrfach erpresst, sondern die Cyberkriminellen nutzen mehrere Druckmittel für ihre Erpressung. Bei der bisher üblichen Ransomware gibt es zumeist ein Druckmittel: Die Daten eines Computers, Netzwerks oder Systems werden verschlüsselt. Für die Entschlüsselung wird ein Lösegeld gefordert. Bei Double Extortion Ransomware ergänzen die Cyberkriminellen weitere Druckmittel, um die Lösegeldzahlung für das erpresste Unternehmen möglichst unumgänglich zu machen.
Womit drohen Cyberkriminelle bei einer Double Extortion?
Bei vielen Double Extortions kopieren die Cyberkriminellen die Daten vor ihrer Verschlüsselung. Dabei bevorzugen sie möglichst sensible Informationen wie z. B. Unternehmensgeheimnisse oder persönliche Daten. Später drohen sie dann, genau diese Daten zu veröffentlichen oder im Darknet zu versteigern.
Weitere mögliche Druckmittel der Cyberkriminellen:
- DDoS-Angriffe, mit denen Cyberkriminelle die Website des erpressten Unternehmens unnutzbar machen.
- Von den Cyberkriminellen festgestellte Verstöße des Unternehmens gegen Vorschriften, z. B. die DSGVO. Dann liegen die Lösegeldforderungen häufig unter dem zu erwartenden Bußgeld.
Wie läuft ein typischer Double Extortion Angriff ab?
Den typischen Ablauf dieser Angriffe zu kennen hilft, sich effektiver vor ihnen zu schützen.
- Kompromittierung des Unternehmensnetzwerkes. Zum Beispiel durch eine erfolgreiche Phishing-E-Mail, über nocht nicht durch Updates geschlossenen Sicherheitslücken oder durch Angriffe auf Fernzugriff-Zugänge.
- Verbreitung im Netzwerk. Die Cyberkriminellen weiten ihren Zugriff aus und forschen das System und seine Daten aus.
- Daten-Exfiltration. Die Cyberkriminellen kopieren sich möglichst viele und möglichst sensible Daten des Unternehmens.
- Aktivierung der Ransomware. Verschlüsselung aller für die Cyberkriminellen erreichbaren Daten und Systeme des Unternehmens; Präsentation der Lösegeldforderung.
- Die Veröffentlichung oder Versteigerung der kopierten Daten kann angedroht werden, wenn das Unternehmen die Lösegeldzahlung verweigert. Sie kann aber auch direkt bei der ersten Lösegeldforderung in Aussicht gestellt werden.
Die häufigsten Angriffswege der Cyberkriminellen
Für die Cyberkriminellen ist die erste Kompromittierung des Unternehmensnetzwerkes entscheidend. Dazu nutzen sie unterschiedliche Angriffswege:
- Phishing-E-Mails
- Sicherheitslücken in Software und Hardware
- Schwachstellen von VPN-Verbindungen
- Brute-Force-Angriffe auf Fernzugänge zum Unternehmensnetzwerk (diese Zugänge sind auch bekannt als Remote Desktop Protocol, kurz RDP).
- Im Darknet gekaufte Zugangsdaten zu bereits kompromittierten Netzwerken
Wie können Sie Ihr Unternehmen besser vor Double Extortion Angriffen schützen?
Ganz grundlegend sollten Sie Ihre Schutzstrategie zweigleisig aufsetzen:
- Vereitelung von erfolgreichen Angriffen (Prävention)
- Schadensbegrenzung bei erfolgreichen Angriffen (Reaktion)
Einen durchdachten Cybersicherheit-Grundschutz umzusetzen, bewirkt bereits viel. Zusätzlich empfehlen wir spezifische Maßnahmen, um typische Abläufe von Double Extortion Angriffen zu unterbinden – oder zumindest schnell zu erkennen und sofort reagieren zu können.
Besonderen Schutz bietet ein konsequent umgesetztes Zero Trust Modell, das mit spezifischen Maßnahmen ergänzt wird.
Eine wirksame Schutzstrategie ist individuell auf Ihr Unternehmen zugeschnitten – unter anderem auf seine technischen, menschlichen und inhaltlichen Gegebenheiten, Möglichkeiten und Grenzen. Hierzu beraten die Expertinnen und Experten von Perseus Sie gerne.
Einige besonders wichtige Maßnahmen möchten wir Ihnen aber schon hier an die Hand geben.
Besonders wichtige Maßnahmen zur Prävention von Double Extortion Angriffen
- Anti-Phishing-Sensibilisierung und -Training Ihrer Mitarbeitenden
- Umgehendes Einspielen von Updates und Patches, ganz besonders bei häufigen Angriffspunkten wie VPN und RDP.
- Zugänge zu häufigen Angriffspunkten nur denjenigen geben, die sie wirklich brauchen. Diese Zugänge möglichst per Multi-Faktor-Authentifizierung absichern.
- Sensible Daten gezielt schützen, z. B. durch Verschlüsselung oder ausgelagerte Speicherung.
- Segmentierung des Unternehmensnetzwerkes in möglichst getrennte Bereiche.
Besonders wichtige Maßnahmen zur Schadensbegrenzung bei Double Extortion Angriffen
- Überwachung des Systems auf verdächtige Vorgänge.
- Einhaltung der DSGVO und anderer Vorschriften, um Erpressbarkeit zu vermindern.
- Förderung einer positiven, aufmerksamen Sicherheitskultur, damit Kompromittierungen schnell erkannt und gemeldet werden. Nur dann kann angemessen reagiert werden.
- Ein Notfallplan, der allen Mitarbeitenden vertraut und zugänglich ist. Er muss erste Maßnahmen und Kontaktpersonen für den Cyber-Notfall benennen.
- Ggf. Hard- und Software nutzen, die Datenabflüsse bei erfolgreicher Kompromittierung verhindert. Solche Produkte sind auch bekannt als Data Loss Prevention.
- Tagesaktuelle, vom System getrennt aufbewahrte Back-ups
- Strategie zum leichten, schnellen Wiederherstellen des Systems aus aktuellen Back-ups
An wen können Sie sich im Akutfall wenden?
Sie vermuten eine Kompromittierung Ihres Netzwerkes oder haben sogar gerade eine Lösegeldforderung vor sich? Dann handeln Sie umgehend:
Perseus-Mitglieder können jeden Tag rund um die Uhr auf unsere Incident Response zählen
Ebenfalls rund um die Uhr besetzt ist diese Notfall-Nummer für Nicht-Mitglieder: +49 30 233 2730 95
Weitere Informationen
Im persönlichen Gespräch beraten wir Sie gerne zum Thema Double Extortion und dazu, wie Sie Ihr Unternehmen besser schützen können. Wenn Sie sich zu diesem Thema gerne noch etwas einlesen möchten, schauen Sie doch einmal hier vorbei:
- No More Ransom ist eine Initiative u. a. der National High Tech Crime Unit der niederländischen Polizei und von Europols europäischem Cybercrime Center. Hier finden Sie Informationen zum Thema und viele Präventions-Tipps.
- Dieser englischsprachige Bericht widmet sich ausführlich der aktuellen Lage von Ransomware und der vermehrten Verbreitung von Double Extortion Ransomware. Die Organisation hinter dem Bericht ist das Royal United Service Institute (RUSI), ein unabhängiges britisches Forschungsinstitut, das sich der nationalen und internationalen Sicherheit widmet.