Bildquelle: Mohamed Hassan via Pixabay
30.11.2021

Lösegeld bei Ransomware: Zahlen oder nicht zahlen, das ist die Frage.

Alltägliche Hinweise | Cybersicherheit |  Angriffsverktoren 

Lösegeldforderungen nach einem erfolgreichen Ransomware-Angriff sind ein heikles Thema. Die geforderte Summe kann sehr hoch sein. Ebenso wie der Druck, sie zu zahlen. Aber es gibt keine Garantie, dass Sie Ihre Daten zurückerhalten. Vielleicht machen Sie sich durch die Zahlung sogar strafbar. Zusätzlich lässt jede Zahlung das Geschäftsmodell Ransomware noch profitabler werden und verschlimmert so die Gesamtsituation. Aber ohne Daten und nutzbare IT steht in Ihrem Unternehmen bereits seit Tagen alles still und die Kosten …!

 

Die individuelle Entscheidung für oder gegen eine Lösegeldzahlung können wir niemandem abnehmen. In akuten Fällen beraten wir unsere Mitglieder dazu persönlich und individuell. Das geht in einem Blogartikel natürlich nicht.

Aber wir möchten, dass Sie zumindest Ihre grundlegenden Optionen kennen. Daher geben wir hier eine kursorische Übersicht über aktuelle Empfehlungen, Bedingungen, Studien und Zahlen rund um das Thema Lösegeldzahlungen. Und im Akutfall sind wir immer persönlich für Sie da.

 

 

Gut zu wissen: Im Lösegeld ist Verhandeln eingepreist

Im Rahmen des kürzlich erfolgten Ransomware-Angriffs auf Mediamarktsaturn forderten Cyberkriminelle insgesamt 240 Millionen US-Dollar Lösegeld. Die Forderung klingt astronomisch – und ist es auch. Denn die Summen werden von den Cyberkriminellen häufig extra hoch angesetzt, um Verhandlungsspielraum zu haben.

 

Was raten die Behörden?

Das BSI, das BKA und die Polizei raten von Lösegeldzahlungen ab. Unter anderem, weil nicht sicher ist, ob die Daten nach der Zahlung entschlüsselt werden und weil weitere Lösegelder eingefordert werden könnten.

 

Studie von Sophos: Lösegeld bringt im Durchschnitt nur 2/3 der Daten zurück 

Das britische Sicherheitssoftware-Unternehmen Sophos gibt jährlich eine Studie zum Thema Ransomware heraus. 2021 wurden 5.400 IT-Entscheidende in 30 Ländern befragt. In Bezug auf

 

Lösegeldzahlungen gab es aufschlussreiche Antworten: 

  • Unternehmen, die ein Lösegeld zahlten, erhielten im Durchschnitt nur 65 % ihrer verschlüsselten Daten zurück.
  • Nur bei 8 % wurden alle Daten wieder entschlüsselt.
  • Bei fast einem Drittel – bei 29 % – wurde maximal die Hälfte der Daten entschlüsselt.
  • Bei einer Kosten-Nutzen-Abwägung zu einer Lösegeldzahlung sollten Unternehmen daher davon ausgehen, dass sie etwa 2/3 ihrer Daten zurückerhalten.
  • Ein fast banales, aber dennoch wichtiges Ergebnis der Studie: Die Branchen, die ihre Daten am häufigsten aus Backups wiederherstellen konnten, zahlten am seltensten Lösegelder.

 

Die Sicht der Cyberversicherungen: Lösegelder zahlen verschärft langfristig das Problem

Unter bestimmten Umständen konnten Unternehmen bislang Lösegelder, die sie im Rahmen eines Ransomware-Angriffs gezahlt hatten, von ihrer Cyberversicherung zurückfordern. Nun weichen die ersten Versicherungs-Unternehmen entschieden von dieser Praxis ab.
Hintergrund ist, dass Ransomware-Angriffe immer häufiger und komplexer werden – und die Schäden dadurch immer höher. Damit die Cyberversicherungen dennoch wirtschaftlich bleiben, müssen sie Maßnahmen ergreifen. Zum Beispiel: ihre Prämien erhöhen, ihre Versicherungsbedingungen strenger gestalten und bzw. oder die Schadensabdeckung begrenzen.
Ein zusätzlicher Faktor für Versicherungen ist, dass jede Lösegeldzahlung das Geschäftsmodell Ransomware für Cyberkriminelle fördert. Das führt langfristig zu noch mehr Angriffen und Lösegeldforderungen und damit zu immer höheren Risiken für die Versicherungen.

 

Diese Risiken einer Lösegeldzahlung sollten Sie kennen:

Möglicherweise werden die verschlüsselten Daten nicht oder nur zum Teil wieder entschlüsselt. Denn für manche Ransomware haben die Cyberkriminellen gar kein Entschlüsselungsprogramm. Und einige der tatsächlich existierenden Entschlüsselungsprogramme enthalten Codefehler, sodass sie nicht funktionieren.
Cyberkriminelle sind gut vernetzt. Sie teilen auch Informationen dazu, welche Unternehmen bereit waren, Lösegelder zu zahlen. Diese Unternehmen sind dann attraktive Ziele für erneute Angriffe.
Lösegeldzahlungen können rechtlich problematisch sein. Daher empfiehlt sich das Hinzuziehen einer Anwältin oder eines Anwalts.

 

Wir von Perseus raten: Nur im äußersten Notfall zahlen 

Generell empfehlen wir, kein Lösegeld zu zahlen. Von dieser Empfehlung weichen wir in Einzelfällen ab. Unser Senior Security Analyst Valentin Savulescu erklärt: “Wenn eine Lösegeldzahlung die einzige oder immer noch beste Option ist, dann raten wir dazu. Zum Beispiel, wenn es in einem Unternehmen gar keine Backups gibt oder alle Backups ebenfalls verschlüsselt wurden und die kritischen Daten nicht aus anderen Quellen rekonstruiert werden können. Also zum Beispiel aus Akten, Unterlagen, Online-Archiven oder Kommunikation. Wenn außerdem keine Alternative zu einer Lösegeldzahlung greift und es bereits eine große Hilfe wäre, wenn die Daten wenigstens zum Teil entschlüsselt werden.”
Er ergänzt: “Aber auch eine Lösegeldzahlung ist keine einfache Lösung. So müssen wir z. B. jedes von den Cyberkriminellen bereitgestellte Entschlüsselungsprogramm zunächst überprüfen. Denn es kann sich einfach um ein weiteres Schadprogramm handeln. Eine Garantie, dass das gelieferte  Entschlüsselungsprogramm funktioniert, gibt es ebenfalls nicht. Und nach der Zahlung muss das Unternehmen sich extrem gut absichern, um weitere Vorfälle zu verhindern.” Zusätzlich empfiehlt Savulescu, ein Kopie der verschlüsselten Daten aufzubewahren – für den Fall, dass sie bald doch ohne Lösegeldzahlung entschlüsselt werden können.

 

Alternativen zu einer Lösegeldzahlung

Testen Sie mit dem CryptoSherriff von Nomoreransom.org, ob Ihre verschlüsselten Daten auch ohne Lösegeldzahlung entschlüsselt werden können. Nomoreransom.org ist eine Initiative u. a. der National High Tech Crime Unit der niederländischen Polizei und des Cybercrime Centers von  Europol.
Nutzen Sie Backups, um die Daten wiederherzustellen. Selbst mit älteren Backups erhalten Sie vermutlich mehr Daten zurück, als wenn Sie das Lösegeld bezahlen.
Wenden Sie sich an Perseus, um alle technischen Möglichkeiten einer Entschlüsselung und Datenwiederherstellung auszuschöpfen.

 

Wichtig: 

Egal ob Sie ein Lösegeld bezahlen oder nicht, nach einem erfolgreichen Ransomware-Angriff müssen Sie Ihr System unbedingt umfassend gegen erneute Angriffe absichern. Perseus steht Ihnen dabei gerne zur Seite.

Wir helfen Ihnen im Akutfall 

Sie haben gerade eine Lösegeldforderung vor sich? Dann kontaktieren Sie uns umgehend, damit wir besprechen, wie Sie nun am besten reagieren.

Hinweis: Seien Sie für den Notfall abgesichert. Zum Beispiel mit der Perseus 24/7 Notfallhilfe. Perseus-Mitglieder können im Ernstfall jeden Tag rund um die Uhr auf unsere Incident Response zählen. Lassen Sie sich beraten!

 

30.11.2021

Ransomware: to pay or not to pay, that is the question.

Everyday tips | Cybersecurity | Attack vectors

Ransom demands following a successful ransomware attack are a sensitive issue. The amount demanded can be very high. So can the pressure to pay. But there is no guarantee that you will get your data back. You may even be committing a criminal offence by paying. In addition, every payment makes the ransomware business model even more profitable, thereby exacerbating the overall situation. But without data and usable IT, your business has been at a standstill for days and the costs are mounting!

 

We cannot make the individual decision for or against paying a ransom for anyone. In acute cases, we advise our members personally and individually. Of course, this is not possible in a blog article.

But we want you to at least know your basic options. That is why we are providing a brief overview of current recommendations, conditions, studies and figures relating to ransom payments. And in acute cases, we are always there for you personally.

 

Good to know: Negotiation is part of the ransom price

In the recent ransomware attack on Mediamarktsaturn, cybercriminals demanded a total of 240 million US dollars in ransom. The demand sounds astronomical – and it is. This is because cybercriminals often set the sums extra high in order to have room for negotiation.

 

What do the authorities advise?

The BSI, the BKA and the police advise against paying ransom. Among other things, because it is not certain that the data will be decrypted after payment and because further ransom payments could be demanded.

 

Sophos study: Ransom only recovers an average of 2/3 of the data

The British security software company Sophos publishes an annual study on ransomware. In 2021, 5,400 IT decision-makers in 30 countries were surveyed. With regard to

 

Ransom payments, there were revealing answers:

  • Companies that paid a ransom received on average only 65% of their encrypted data back.
  • Only 8% had all their data decrypted.
  • In almost a third of cases (29%), a maximum of half of the data was decrypted.
  • When weighing up the costs and benefits of paying a ransom, companies should therefore assume that they will get back around two-thirds of their data.
  • An almost trivial but nevertheless important finding of the study is that the industries that were most often able to recover their data from backups were the least likely to pay ransoms.

 

The cyber insurance perspective: paying ransoms exacerbates the problem in the long term

Under certain circumstances, companies have been able to reclaim ransoms paid in connection with a ransomware attack from their cyber insurance. Now, the first insurance companies are moving away from this practice.

The reason is that ransomware attacks are becoming more frequent and complex, resulting in ever-higher damages. To remain economically viable, cyber insurance companies must take action. For example, they can increase their premiums, tighten their insurance terms and conditions, and/or limit their coverage.

An additional factor for insurance companies is that every ransom payment promotes the ransomware business model for cybercriminals. In the long term, this leads to even more attacks and ransom demands, and thus to ever higher risks for insurance companies.

 

You should be aware of the following risks associated with paying a ransom:

The encrypted data may not be decrypted, or only partially. This is because cybercriminals do not have a decryption program for some ransomware. And some of the decryption programs that do exist contain code errors that prevent them from working.

Cybercriminals are well connected. They also share information about which companies were willing to pay ransoms. These companies then become attractive targets for renewed attacks.

Ransom payments can be legally problematic. It is therefore advisable to consult a lawyer.

 

Our advice at Perseus: Only pay in extreme emergencies

In general, we recommend not paying ransom. We deviate from this recommendation in individual cases. Our Senior Security Analyst Valentin Savulescu explains: „If paying a ransom is the only or still the best option, then we advise doing so. For example, if a company has no backups or all backups have also been encrypted and the critical data cannot be reconstructed from other sources. For example, from files, documents, online archives or communications. If there is no alternative to paying the ransom and it would be a great help if at least some of the data could be decrypted.“

He adds: ‘But even paying the ransom is not a simple solution. For example, we first have to check every decryption program provided by the cybercriminals. It could simply be another piece of malware. There is also no guarantee that the decryption program provided will work. And after payment, the company must take extreme precautions to prevent further incidents.’ Savulescu also recommends keeping a copy of the encrypted data in case it can be decrypted soon without paying the ransom.

 

Alternatives to paying the ransom

Use Nomoreransom.org’s CryptoSherriff to check whether your encrypted data can be decrypted without paying the ransom. Nomoreransom.org is an initiative of the Dutch National High Tech Crime Unit and Europol’s Cybercrime Centre, among others.

Use backups to restore your data. Even with older backups, you will probably get more data back than if you pay the ransom.

Contact Perseus to explore all technical options for decryption and data recovery.

 

Important

Regardless of whether you pay the ransom or not, after a successful ransomware attack, you must thoroughly secure your system against further attacks. Perseus is happy to assist you with this.

 

We help you in an emergency

Are you currently facing a ransom demand? Then contact us immediately so that we can discuss the best way to respond.

Note: Be prepared for an emergency. For example, with Perseus 24/7 emergency assistance. Perseus members can count on our incident response team around the clock, every day, in an emergency. Let us advise you!