Lösungen

Preise

Partner

Login

Kostenlose Beratung
Bildquelle: CARTIST via Unsplash
08.11.2021

Double Extortion Ransomware – was ist das und wie schütze ich mein Unternehmen davor?

Alltägliche Hinweise | Cybersicherheit |  Angriffsverktoren 

Ransomware ist ein ernstzunehmendes Risiko für Unternehmen. Aktuell ist jedoch immer häufiger von Double Extortion Ransomware die Rede. Was ist das, was bedeuten diese Angriffe für Unternehmen und wie können Sie sich schützen? Das verraten wir Ihnen in diesem Blogbeitrag.

 

Was ist Double Extortion Ransomware?

Double Extortion bedeutet übersetzt “doppelte Erpressung“. Dabei wird nicht unbedingt mehrfach erpresst, sondern die Cyberkriminellen nutzen mehrere Druckmittel für ihre Erpressung. Bei der bisher üblichen Ransomware gibt es zumeist ein Druckmittel: Die Daten eines Computers, Netzwerks oder Systems werden verschlüsselt. Für die Entschlüsselung wird ein Lösegeld gefordert. Bei Double Extortion Ransomware ergänzen die Cyberkriminellen weitere Druckmittel, um die Lösegeldzahlung für das erpresste Unternehmen möglichst unumgänglich zu machen.

 

Womit drohen Cyberkriminelle bei einer Double Extortion? 

Bei vielen Double Extortions kopieren die Cyberkriminellen die Daten vor ihrer Verschlüsselung. Dabei bevorzugen sie möglichst sensible Informationen wie z. B. Unternehmensgeheimnisse oder persönliche Daten. Später drohen sie dann, genau diese Daten zu veröffentlichen oder im Darknet zu versteigern.

 

Weitere mögliche Druckmittel der Cyberkriminellen: 

  • DDoS-Angriffe, mit denen Cyberkriminelle die Website des erpressten Unternehmens unnutzbar machen.
  • Von den Cyberkriminellen festgestellte Verstöße des Unternehmens gegen Vorschriften, z. B. die DSGVO. Dann liegen die Lösegeldforderungen häufig unter dem zu erwartenden Bußgeld.

 

Wie läuft ein typischer Double Extortion Angriff ab? 

Den typischen Ablauf dieser Angriffe zu kennen hilft, sich effektiver vor ihnen zu schützen.

  1. Kompromittierung des Unternehmensnetzwerkes. Zum Beispiel durch eine erfolgreiche Phishing-E-Mail, über nocht nicht durch Updates geschlossenen Sicherheitslücken oder durch Angriffe auf Fernzugriff-Zugänge.
  2. Verbreitung im Netzwerk. Die Cyberkriminellen weiten ihren Zugriff aus und forschen das System und seine Daten aus.
  3. Daten-Exfiltration. Die Cyberkriminellen kopieren sich möglichst viele und möglichst sensible Daten des Unternehmens.
  4. Aktivierung der Ransomware. Verschlüsselung aller für die Cyberkriminellen erreichbaren Daten und Systeme des Unternehmens; Präsentation der Lösegeldforderung.
  5. Die Veröffentlichung oder Versteigerung der kopierten Daten kann angedroht werden, wenn das Unternehmen die Lösegeldzahlung verweigert. Sie kann aber auch direkt bei der ersten Lösegeldforderung in Aussicht gestellt werden.

 

Die häufigsten Angriffswege der Cyberkriminellen

Für die Cyberkriminellen ist die erste Kompromittierung des Unternehmensnetzwerkes entscheidend. Dazu nutzen sie unterschiedliche Angriffswege:

  • Phishing-E-Mails
  • Sicherheitslücken in Software und Hardware
  • Schwachstellen von VPN-Verbindungen
  • Brute-Force-Angriffe auf Fernzugänge zum Unternehmensnetzwerk (diese Zugänge sind auch bekannt als Remote Desktop Protocol, kurz RDP).
  • Im Darknet gekaufte Zugangsdaten zu bereits kompromittierten Netzwerken

 

Wie können Sie Ihr Unternehmen besser vor Double Extortion Angriffen schützen? 

Ganz grundlegend sollten Sie Ihre Schutzstrategie zweigleisig aufsetzen:

  • Vereitelung von erfolgreichen Angriffen (Prävention)
  • Schadensbegrenzung bei erfolgreichen Angriffen (Reaktion)

Einen durchdachten Cybersicherheit-Grundschutz umzusetzen, bewirkt bereits viel. Zusätzlich empfehlen wir spezifische Maßnahmen, um typische Abläufe von Double Extortion Angriffen zu unterbinden – oder zumindest schnell zu erkennen und sofort reagieren zu können.

Besonderen Schutz bietet ein konsequent umgesetztes Zero Trust Modell, das mit spezifischen Maßnahmen ergänzt wird.

Eine wirksame Schutzstrategie ist individuell auf Ihr Unternehmen zugeschnitten – unter anderem auf seine technischen, menschlichen und inhaltlichen Gegebenheiten, Möglichkeiten und Grenzen. Hierzu beraten die Expertinnen und Experten von Perseus Sie gerne.

Einige besonders wichtige Maßnahmen möchten wir Ihnen aber schon hier an die Hand geben.

 

Besonders wichtige Maßnahmen zur Prävention von Double Extortion Angriffen

  • Anti-Phishing-Sensibilisierung und -Training Ihrer Mitarbeitenden
  • Umgehendes Einspielen von Updates und Patches, ganz besonders bei häufigen Angriffspunkten wie VPN und RDP.
  • Zugänge zu häufigen Angriffspunkten nur denjenigen geben, die sie wirklich brauchen. Diese Zugänge möglichst per Multi-Faktor-Authentifizierung absichern.
  • Sensible Daten gezielt schützen, z. B. durch Verschlüsselung oder ausgelagerte Speicherung.
  • Segmentierung des Unternehmensnetzwerkes in möglichst getrennte Bereiche.

 

Besonders wichtige Maßnahmen zur Schadensbegrenzung bei Double Extortion Angriffen

  • Überwachung des Systems auf verdächtige Vorgänge.
  • Einhaltung der DSGVO und anderer Vorschriften, um Erpressbarkeit zu vermindern.
  • Förderung einer positiven, aufmerksamen Sicherheitskultur, damit Kompromittierungen schnell erkannt und gemeldet werden. Nur dann kann angemessen reagiert werden.
  • Ein Notfallplan, der allen Mitarbeitenden vertraut und zugänglich ist. Er muss erste Maßnahmen und Kontaktpersonen für den Cyber-Notfall benennen.
  • Ggf. Hard- und Software nutzen, die Datenabflüsse bei erfolgreicher Kompromittierung  verhindert. Solche Produkte sind auch bekannt als Data Loss Prevention.
  • Tagesaktuelle, vom System getrennt aufbewahrte Back-ups
  • Strategie zum leichten, schnellen Wiederherstellen des Systems aus aktuellen Back-ups

 

An wen können Sie sich im Akutfall wenden?

Sie vermuten eine Kompromittierung Ihres Netzwerkes oder haben sogar gerade eine Lösegeldforderung vor sich? Dann handeln Sie umgehend:

Perseus-Mitglieder können jeden Tag rund um die Uhr auf unsere Incident Response zählen.

 

Weitere Informationen

Im persönlichen Gespräch beraten wir Sie gerne zum Thema Double Extortion und dazu, wie Sie Ihr Unternehmen besser schützen können. Wenn Sie sich zu diesem Thema gerne noch etwas einlesen möchten, schauen Sie doch einmal hier vorbei:

  • No More Ransom ist eine Initiative u. a. der National High Tech Crime Unit der niederländischen Polizei und von Europols europäischem Cybercrime Center. Hier finden Sie Informationen zum Thema und viele Präventions-Tipps.
  • Dieser englischsprachige Bericht widmet sich ausführlich der aktuellen Lage von Ransomware und der vermehrten Verbreitung von Double Extortion Ransomware. Die Organisation hinter dem Bericht ist das Royal United Service Institute (RUSI), ein unabhängiges britisches Forschungsinstitut, das sich der nationalen und internationalen Sicherheit widmet.
08.11.2021

Double extortion ransomware – what is it and how can I protect my company from it?

Everyday tips | Cybersecurity | Attack vectors

Ransomware is a serious risk for businesses. However, there is currently increasing talk of double extortion ransomware. What is it, what do these attacks mean for businesses, and how can you protect yourself? We reveal all in this blog post.

 

What is double extortion ransomware?

Double extortion means exactly what it says: double blackmail. This does not necessarily involve multiple instances of blackmail, but rather cybercriminals using multiple means of pressure to extort money. With traditional ransomware, there is usually one means of pressure: the data on a computer, network or system is encrypted. A ransom is demanded in exchange for decryption.

With double extortion ransomware, cybercriminals add further means of pressure to make the ransom payment as unavoidable as possible for the blackmailed company.

 

What threats do cybercriminals use in double extortion?

In many cases of double extortion, cybercriminals copy the data before encrypting it. They prefer to target sensitive information such as company secrets or personal data. They then threaten to publish this data or auction it on the dark web.

 

Other possible means of pressure used by cybercriminals:

  • DDoS attacks, which cybercriminals use to render the blackmailed company’s website unusable.
  • Cybercriminals identify violations of regulations, such as the GDPR, committed by the company. In such cases, the ransom demands are often lower than the expected fines.

 

How does a typical double extortion attack work?

Knowing the typical sequence of these attacks helps to protect against them more effectively.

  1. Compromise of the company network. For example, through a successful phishing email, security vulnerabilities that have not yet been closed by updates, or attacks on remote access points.
  2. Spread within the network. The cybercriminals expand their access and explore the system and its data.
  3. Data exfiltration. The cybercriminals copy as much of the company’s data as possible, focusing on sensitive information.
  4. Activation of the ransomware. Encryption of all company data and systems accessible to cybercriminals; presentation of the ransom demand.
  5. The publication or auction of the copied data may be threatened if the company refuses to pay the ransom. However, this may also be threatened directly in the initial ransom demand.

 

The most common attack vectors used by cybercriminals

For cybercriminals, the first step is to compromise the company network. They use various methods to do this:

  • Phishing emails
  • Security gaps in software and hardware
  • Vulnerabilities in VPN connections
  • Brute force attacks on remote access to the company network (this access is also known as Remote Desktop Protocol, or RDP for short).
  • Access data to already compromised networks purchased on the darknet

 

How can you better protect your company against double extortion attacks?

As a basic rule, you should adopt a two-pronged protection strategy:

  • Preventing successful attacks (prevention)
  • Limiting damage in the event of successful attacks (response)

 

Implementing a well-thought-out basic cyber security protection already goes a long way. In addition, we recommend specific measures to prevent typical double extortion attack sequences – or at least to detect them quickly and be able to respond immediately.

 

A consistently implemented zero trust model, supplemented by specific measures, offers particular protection.

 

An effective protection strategy is tailored to your company – including its technical, human and content-related circumstances, possibilities and limitations. The experts at Perseus will be happy to advise you on this.

However, we would like to provide you with some particularly important measures here.

 

Particularly important measures for preventing double extortion attacks

  • Anti-phishing awareness and training for your employees
  • Immediate installation of updates and patches, especially for frequent attack points such as VPN and RDP.
  • Only grant access to frequent attack points to those who really need it. Secure this access with multi-factor authentication wherever possible.
  • Protect sensitive data in a targeted manner, e.g. through encryption or outsourced storage.
  • Segment the company network into separate areas as far as possible.

 

Particularly important measures for damage limitation in the event of double extortion attacks

  • Monitor the system for suspicious activity.
  • Comply with the GDPR and other regulations to reduce the risk of extortion.
  • Promote a positive, attentive security culture so that compromises are quickly detected and reported. Only then can an appropriate response be made.
  • An emergency plan that is familiar and accessible to all employees. It must specify initial measures and contact persons for cyber emergencies.
  • If necessary, use hardware and software that prevents data leaks in the event of a successful compromise. Such products are also known as data loss prevention.
  • Daily backups stored separately from the system
  • Strategy for easy and fast recovery of the system from current backups

 

Who can you turn to in an emergency?

Do you suspect that your network has been compromised or are you currently facing a ransom demand? Then act immediately:

Perseus members can count on our incident response team around the clock, every day.

 

Further information

We would be happy to advise you in person on the topic of double extortion and how you can better protect your company. If you would like to read more about this topic, please take a look here:

  • No More Ransom is an initiative of the Dutch National High Tech Crime Unit and Europol’s European Cybercrime Centre, among others. Here you will find information on the topic and many prevention tips.
  • This English-language report takes an in-depth look at the current ransomware situation and the increasing prevalence of double extortion ransomware. The organisation behind the report is the Royal United Service Institute (RUSI), an independent British research institute dedicated to national and international security.
Lösungen
Produkte:
Prävention
Risikobewertung
Notfallhilfe
Preise
Partner
Login
Kostenlose Beratung