Alltägliche Hinweise | Cybersicherheit | Angriffsverktoren
Lösegeldforderungen nach einem erfolgreichen Ransomware-Angriff sind ein heikles Thema. Die geforderte Summe kann sehr hoch sein. Ebenso wie der Druck, sie zu zahlen. Aber es gibt keine Garantie, dass Sie Ihre Daten zurückerhalten. Vielleicht machen Sie sich durch die Zahlung sogar strafbar. Zusätzlich lässt jede Zahlung das Geschäftsmodell Ransomware noch profitabler werden und verschlimmert so die Gesamtsituation. Aber ohne Daten und nutzbare IT steht in Ihrem Unternehmen bereits seit Tagen alles still und die Kosten …!
Die individuelle Entscheidung für oder gegen eine Lösegeldzahlung können wir niemandem abnehmen. In akuten Fällen beraten wir unsere Mitglieder dazu persönlich und individuell. Das geht in einem Blogartikel natürlich nicht.
Aber wir möchten, dass Sie zumindest Ihre grundlegenden Optionen kennen. Daher geben wir hier eine kursorische Übersicht über aktuelle Empfehlungen, Bedingungen, Studien und Zahlen rund um das Thema Lösegeldzahlungen. Und im Akutfall sind wir immer persönlich für Sie da.
Im Rahmen des kürzlich erfolgten Ransomware-Angriffs auf Mediamarktsaturn forderten Cyberkriminelle insgesamt 240 Millionen US-Dollar Lösegeld. Die Forderung klingt astronomisch – und ist es auch. Denn die Summen werden von den Cyberkriminellen häufig extra hoch angesetzt, um Verhandlungsspielraum zu haben.
Das BSI, das BKA und die Polizei raten von Lösegeldzahlungen ab. Unter anderem, weil nicht sicher ist, ob die Daten nach der Zahlung entschlüsselt werden und weil weitere Lösegelder eingefordert werden könnten.
Das britische Sicherheitssoftware-Unternehmen Sophos gibt jährlich eine Studie zum Thema Ransomware heraus. 2021 wurden 5.400 IT-Entscheidende in 30 Ländern befragt. In Bezug auf
Unter bestimmten Umständen konnten Unternehmen bislang Lösegelder, die sie im Rahmen eines Ransomware-Angriffs gezahlt hatten, von ihrer Cyberversicherung zurückfordern. Nun weichen die ersten Versicherungs-Unternehmen entschieden von dieser Praxis ab.
Hintergrund ist, dass Ransomware-Angriffe immer häufiger und komplexer werden – und die Schäden dadurch immer höher. Damit die Cyberversicherungen dennoch wirtschaftlich bleiben, müssen sie Maßnahmen ergreifen. Zum Beispiel: ihre Prämien erhöhen, ihre Versicherungsbedingungen strenger gestalten und bzw. oder die Schadensabdeckung begrenzen.
Ein zusätzlicher Faktor für Versicherungen ist, dass jede Lösegeldzahlung das Geschäftsmodell Ransomware für Cyberkriminelle fördert. Das führt langfristig zu noch mehr Angriffen und Lösegeldforderungen und damit zu immer höheren Risiken für die Versicherungen.
Möglicherweise werden die verschlüsselten Daten nicht oder nur zum Teil wieder entschlüsselt. Denn für manche Ransomware haben die Cyberkriminellen gar kein Entschlüsselungsprogramm. Und einige der tatsächlich existierenden Entschlüsselungsprogramme enthalten Codefehler, sodass sie nicht funktionieren.
Cyberkriminelle sind gut vernetzt. Sie teilen auch Informationen dazu, welche Unternehmen bereit waren, Lösegelder zu zahlen. Diese Unternehmen sind dann attraktive Ziele für erneute Angriffe.
Lösegeldzahlungen können rechtlich problematisch sein. Daher empfiehlt sich das Hinzuziehen einer Anwältin oder eines Anwalts.
Generell empfehlen wir, kein Lösegeld zu zahlen. Von dieser Empfehlung weichen wir in Einzelfällen ab. Unser Senior Security Analyst Valentin Savulescu erklärt: “Wenn eine Lösegeldzahlung die einzige oder immer noch beste Option ist, dann raten wir dazu. Zum Beispiel, wenn es in einem Unternehmen gar keine Backups gibt oder alle Backups ebenfalls verschlüsselt wurden und die kritischen Daten nicht aus anderen Quellen rekonstruiert werden können. Also zum Beispiel aus Akten, Unterlagen, Online-Archiven oder Kommunikation. Wenn außerdem keine Alternative zu einer Lösegeldzahlung greift und es bereits eine große Hilfe wäre, wenn die Daten wenigstens zum Teil entschlüsselt werden.”
Er ergänzt: “Aber auch eine Lösegeldzahlung ist keine einfache Lösung. So müssen wir z. B. jedes von den Cyberkriminellen bereitgestellte Entschlüsselungsprogramm zunächst überprüfen. Denn es kann sich einfach um ein weiteres Schadprogramm handeln. Eine Garantie, dass das gelieferte Entschlüsselungsprogramm funktioniert, gibt es ebenfalls nicht. Und nach der Zahlung muss das Unternehmen sich extrem gut absichern, um weitere Vorfälle zu verhindern.” Zusätzlich empfiehlt Savulescu, ein Kopie der verschlüsselten Daten aufzubewahren – für den Fall, dass sie bald doch ohne Lösegeldzahlung entschlüsselt werden können.
Testen Sie mit dem CryptoSherriff von Nomoreransom.org, ob Ihre verschlüsselten Daten auch ohne Lösegeldzahlung entschlüsselt werden können. Nomoreransom.org ist eine Initiative u. a. der National High Tech Crime Unit der niederländischen Polizei und des Cybercrime Centers von Europol.
Nutzen Sie Backups, um die Daten wiederherzustellen. Selbst mit älteren Backups erhalten Sie vermutlich mehr Daten zurück, als wenn Sie das Lösegeld bezahlen.
Wenden Sie sich an Perseus, um alle technischen Möglichkeiten einer Entschlüsselung und Datenwiederherstellung auszuschöpfen.
Wichtig:
Egal ob Sie ein Lösegeld bezahlen oder nicht, nach einem erfolgreichen Ransomware-Angriff müssen Sie Ihr System unbedingt umfassend gegen erneute Angriffe absichern. Perseus steht Ihnen dabei gerne zur Seite.
Wir helfen Ihnen im Akutfall
Sie haben gerade eine Lösegeldforderung vor sich? Dann kontaktieren Sie uns umgehend, damit wir besprechen, wie Sie nun am besten reagieren.
Hinweis: Seien Sie für den Notfall abgesichert. Zum Beispiel mit der Perseus 24/7 Notfallhilfe. Perseus-Mitglieder können im Ernstfall jeden Tag rund um die Uhr auf unsere Incident Response zählen. Lassen Sie sich beraten!
Everyday tips | Cybersecurity | Attack vectors
Ransom demands following a successful ransomware attack are a sensitive issue. The amount demanded can be very high. So can the pressure to pay. But there is no guarantee that you will get your data back. You may even be committing a criminal offence by paying. In addition, every payment makes the ransomware business model even more profitable, thereby exacerbating the overall situation. But without data and usable IT, your business has been at a standstill for days and the costs are mounting!
We cannot make the individual decision for or against paying a ransom for anyone. In acute cases, we advise our members personally and individually. Of course, this is not possible in a blog article.
But we want you to at least know your basic options. That is why we are providing a brief overview of current recommendations, conditions, studies and figures relating to ransom payments. And in acute cases, we are always there for you personally.
In the recent ransomware attack on Mediamarktsaturn, cybercriminals demanded a total of 240 million US dollars in ransom. The demand sounds astronomical – and it is. This is because cybercriminals often set the sums extra high in order to have room for negotiation.
The BSI, the BKA and the police advise against paying ransom. Among other things, because it is not certain that the data will be decrypted after payment and because further ransom payments could be demanded.
The British security software company Sophos publishes an annual study on ransomware. In 2021, 5,400 IT decision-makers in 30 countries were surveyed. With regard to
Under certain circumstances, companies have been able to reclaim ransoms paid in connection with a ransomware attack from their cyber insurance. Now, the first insurance companies are moving away from this practice.
The reason is that ransomware attacks are becoming more frequent and complex, resulting in ever-higher damages. To remain economically viable, cyber insurance companies must take action. For example, they can increase their premiums, tighten their insurance terms and conditions, and/or limit their coverage.
An additional factor for insurance companies is that every ransom payment promotes the ransomware business model for cybercriminals. In the long term, this leads to even more attacks and ransom demands, and thus to ever higher risks for insurance companies.
The encrypted data may not be decrypted, or only partially. This is because cybercriminals do not have a decryption program for some ransomware. And some of the decryption programs that do exist contain code errors that prevent them from working.
Cybercriminals are well connected. They also share information about which companies were willing to pay ransoms. These companies then become attractive targets for renewed attacks.
Ransom payments can be legally problematic. It is therefore advisable to consult a lawyer.
In general, we recommend not paying ransom. We deviate from this recommendation in individual cases. Our Senior Security Analyst Valentin Savulescu explains: „If paying a ransom is the only or still the best option, then we advise doing so. For example, if a company has no backups or all backups have also been encrypted and the critical data cannot be reconstructed from other sources. For example, from files, documents, online archives or communications. If there is no alternative to paying the ransom and it would be a great help if at least some of the data could be decrypted.“
He adds: ‘But even paying the ransom is not a simple solution. For example, we first have to check every decryption program provided by the cybercriminals. It could simply be another piece of malware. There is also no guarantee that the decryption program provided will work. And after payment, the company must take extreme precautions to prevent further incidents.’ Savulescu also recommends keeping a copy of the encrypted data in case it can be decrypted soon without paying the ransom.
Use Nomoreransom.org’s CryptoSherriff to check whether your encrypted data can be decrypted without paying the ransom. Nomoreransom.org is an initiative of the Dutch National High Tech Crime Unit and Europol’s Cybercrime Centre, among others.
Use backups to restore your data. Even with older backups, you will probably get more data back than if you pay the ransom.
Contact Perseus to explore all technical options for decryption and data recovery.
Important
Regardless of whether you pay the ransom or not, after a successful ransomware attack, you must thoroughly secure your system against further attacks. Perseus is happy to assist you with this.
We help you in an emergency
Are you currently facing a ransom demand? Then contact us immediately so that we can discuss the best way to respond.
Note: Be prepared for an emergency. For example, with Perseus 24/7 emergency assistance. Perseus members can count on our incident response team around the clock, every day, in an emergency. Let us advise you!