Emsisoft
Was ist Extortionware?
Extortionware ist die neueste Entwicklungsstufe von Ransomware. Die Kriminellen geben sich bei ihren Angriffen nicht länger damit zufrieden, die Dateien der Opfer lediglich zu verschlüsseln. Es werden immer häufiger auch vertrauliche Daten gestohlen, um sie dann als weiteres Druckmittel für noch höhere Lösegelder einzusetzen.
In diesem Artikel stellen wir verschiedene Formen von Extortionware vor. Außerdem erklären wir, wie sie so schnell zu einem Standard unter Ransomware-Gruppen wurde, und weshalb bei Extortionware das Vorbeugen – im Gegensatz zur Reaktion darauf – so wichtig ist.
Was ist Extortionware?
Bei Extortionware (abgeleitet vom engl. Begriff „extortion“, dt. „Erpressung“) handelt es sich um einen Cyberangriff, bei dem die Angreifer damit drohen, das Opfer zu schädigen, sofern es deren Forderungen nicht erfüllt. Derartige Angriffe sind in der Regel sehr zielgerichtet und auf Branchen ausgelegt, die mit vertraulichen oder hochwertigen Daten umgehen, etwa im Gesundheits-, Finanz- oder Bildungssektor.
Zu den unterschiedlichen Formen von Extortionware gehören:
- Veröffentlichung der gestohlenen Daten: Angreifer verschaffen sich Zugriff auf das Zielsystem, stehlen vertrauliche Informationen und drohen dann damit, diese zu veröffentlichen oder zu verkaufen, sofern das Opfer den Forderungen nicht nachkommt. Zu diesen hochwertigen Daten gehören beispielsweise Finanzinformationen, geistiges Eigentum oder personenbezogene Daten von Kunden, Mitarbeitern oder Zulieferern des Opfer. In diesem Zusammenhang wird Extortionware häufig auch als „Doxware“ bezeichnet. Sie lässt sich von der Herangehensweise mit herkömmlicher Erpressung vergleichen.
- Drohung mit DDoS-Angriff: Angreifer stören die Website oder Onlinedienste der Opfer, indem sie zielgerichtete DDoS-Angriffe (Denial of Service, dt. Dienstverweigerung) durchführen. Dabei wird mithilfe eines riesigen Netzwerks aus kompromittieren Systemen der Internetserver des Opfers überlastet. Dadurch wird der eigentliche Datenverkehr beeinträchtigt und und der reguläre Onlinebetrieb des Unternehmens häufig völlig behindert. Der Angriff wird erst beendet, wenn das Opfer bezahlt hat. DDoS-Angriffe gibt es bereits seit über 20 Jahren und lassen sich heutzutage bequem über das Darknet kaufen.
Weshalb nutzen Angreifer Extortionware?
Extortionware-Angriffe sind meistens gewinnorientiert. Die Opfer werden also mit dem Schädling dazu erpresst, ein Lösegeld zu zahlen. Das ist häufig ausschließlich in einer Kryptowährung möglich, weil diese schneller und anonymer als reguläres Geld ist.
Cyber-Erpressung ist zwar kein neues Konzept, wurde aber in den vergangenen Jahren besonders unter Ransomware-Gruppen immer beliebter, da es den Angreifern neue Strategien eröffnet, auf die Opfer noch mehr Druck auszuüben.
Der Aufstieg von Extortionware-Ransomware
Die Gang hinter der Ransomware Maze war die erste, die Extortionware in ihr „Ransomware-Geschäftsmodell“ aufnahm. Ende 2019 veröffentlichte sie 700 MB Daten, die sie bei einem Ransomware-Angriff auf das Sicherheitsunternehmen Allied Universal gestohlen hatte, und kündigte an, dass sie noch mehr Firmendaten veröffentlicht, sofern das Unternehmen nicht die 300 Bitcoin Lösegeld bezahlt. Danach wurden Datendiebstahl und Extortionware schnell gängige Praxis, als im Verlauf von 2020 Dutzende andere Ransomware-Gruppen ähnliche Taktiken übernahmen.
Wieso ist Extortionware für Ransomware-Gruppen so wertvoll? Weil sie ein hervorragendes Druckmittel abgibt.
Herkömmliche Ransomware – also eine Malware, die ohne weitere Aktionen lediglich Dateien verschlüsselt – lässt sich meistens mit einer wirkungsvollen Backup-Strategie wieder bereinigen. Ein erfolgreicher Angriff kann fraglos großen Schaden anrichten, ist aber finanziell nicht so vernichtend. Opfer können ihre Systeme oftmals relativ einfach wiederherstellen und, ohne für die Entschlüsselung bezahlen zu müssen, den Betrieb wieder aufnehmen.
Durch Datendiebstahl und Extortionware wird die Wirksamkeit einer Datensicherung jedoch neutralisiert. Selbst wenn das Opfer die verschlüsselten Dateien aus Backups wiederherstellen kann, haben die Angreifer immer noch eine Kopie der gestohlenen Daten, um sie als Druckmittel einzusetzen. Diese könnten dann im Internet veröffentlicht, an andere Cyberkriminelle verkauft oder an die Konkurrenz weitergegeben werden. Für das Opfer selbst kann das zu einem enormen Rufschaden, Geschäftsverlust oder gar rechtlichen Folgen führen.
Folglich sind die Opfer bei einem Ransomware-Angriff in Kombination mit Extortionware enorm unter Druck, das Lösegeld zu bezahlen. Dabei geht es dann nicht nur um das Entschlüsseln der Dateien, sondern viel wichtiger darum, die Angreifer von der Veröffentlichung vertraulicher Informationen abzuhalten. Wir haben auch schon einige Ransomware-Gruppen gesehen, die mit Extortionware doppelt abzukassieren versuchen: mit einem Lösegeld für die Entschlüsselung und einer weiteren Forderung für die Nichtveröffentlichung der gestohlenen Daten.
Was ist der Unterschied zwischen Ransomware und Extortionware?
Der Begriff „Extortionware“ wird häufig verwendet, um moderne Ransomware-Angriffe zu beschreiben, bei denen Daten gestohlen werden. Das ist unserer Meinung nach jedoch nicht ganz korrekt. Die Endung „-ware“ impliziert ein Produkt. Datendiebstahl hingegen ist eher eine Handlung, die wiederum auf viele verschiedene Arten durchgeführt werden kann.
Während „Extortionware“ also mitunter als Synonym für „Ransomware“ verwendet wird, gibt es doch einige Unterschiede zwischen den beiden Begriffen.
- Ransomware: Ransomware ist eine Art von Malware, die den Zugriff auf das System oder die persönlichen Dateien des Opfers blockiert und dann ein Lösegeld fordert, um diesen wieder freizugeben.
- Extortionware: Extortionware ist eine weiterreichende Kategorie von Angriffen, bei denen alle Formen von Cyber-Erpressung zum Einsatz kommen. Ransomware-Gruppen setzen Extortionware ein, um die gestohlenen Daten als Waffe zu nutzen und die Opfer damit zur Zahlung zu zwingen.
Vorbeugen ist der Schlüssel zum Stoppen von Extortionware
Zuverlässige Backup-Maßnahmen sind auch weiterhin ein wichtiger Bestandteil jeglicher Cybersecurity-Strategie. Doch im Kampf gegen Extortionware macht die Gefahr eines Datenverlustes selbst die beste Sicherung und andere Notfallwiederherstellungstools unwirksam. Stattdessen müssen Unternehmen ihr Umkreisnetzwerk stärken und sich darauf konzentrieren, dass es gar nicht erst zu einer Sicherheitsverletzung kommt.
Mit den folgenden Maßnahmen können Sie Extortionware vorbeugen oder zumindest deren Auswirkungen beschränken:
- Aktualisieren Sie Software, wann immer Updates verfügbar sind.
- Verschlüsseln Sie vertrauliche Daten.
- Segmentieren Sie das Netzwerk, um den Zugriff auf wertvolle Daten einzuschränken.
- Führen Sie BYOD-Sicherheitsrichtlinien ein und setzen Sie diese auch durch.
- Setzen Sie MFA und starke Passwörter durch.
- Schulen Sie Mitarbeiter hinsichtlich Cybersicherheitshygiene und Social-Engineering-Taktiken.
- Sichern Sie das RDP ab.
- Beschränken Sie den Fernzugriff.
- Überwachen Sie den Netzwerkverkehr.
Eine hervorragende Option für kleine und mittlere Unternehmen, die nach einer zuverlässigen Cybersecurity-Lösung suchen, ist Emsisoft Business Security, das über eine spezielle Anti-Ransomware-Komponente verfügt.
Fazit
Extortionware ist ein Cyberangriff, bei dem die Kriminellen damit drohen, die Opfer zu schädigen, falls sie deren Forderungen nicht erfüllen. Ransomware-Gruppen nutzen diese Malware, um Backups unwirksam zu machen und die Opfer noch mehr zur Zahlung unter Druck zu setzen. Der beste Weg, um Extortionware wirklich aufzuhalten, besteht darin, der ersten Infizierung vorzubeugen.
Übersetzung: Doreen Schäfer
