Stellen Sie sich vor, Sie haben das Lösegeld bezahlt, von den Angreifern den Decrypter erhalten und damit Ihre Dateien entschlüsselt. Nur jetzt stellt sich heraus, dass einige oder gar alle davon immer noch verschlüsselt sind … Genau das ist einigen Unternehmen passiert.
Wir haben kürzlich bei Cyberkriminellen einen neuen Trend beobachtet, bei dem sie die Daten mit verschiedenen Ransomware-Familien doppelt verschlüsseln. Damit wollen sie den Wiederherstellungsprozess weiter erschweren und ihre Chancen auf Zahlung der Lösegelder erhöhen.
In diesem Blogartikel erläutern wir, wie diese doppelte Verschlüsselung funktioniert, welche Motive möglicherweise dahinter liegen und wie sich betroffene Unternehmen von so einem Angriff wieder erholen können.
Die in diesem Artikel beschriebene Methode zur doppelten Verschlüsselung bezieht sich auf Vorfälle, bei denen ein Angreifer mehrere Ransomware-Varianten im selben Netzwerk einsetzt. Das ist jedoch nicht dasselbe wie Ransomware-Kombiangriffe, bei denen ein Netzwerk Opfer von mehreren Angreifern wird, also die verschiedenen Ransomware-Familien in voneinander unabhängigen Angriffen darauf losgelassen werden.
Funktionsweise
Da ihnen Double Extortion (doppelte Erpressung) nicht mehr länger ausreicht, setzen Kriminelle nun auf eine doppelte Verschlüsselung der Daten. Es wird also für dasselbe Netzwerk mehr als eine Art von Ransomware eingesetzt. Es gab beispielsweise Fälle, in denen die Daten sowohl mit REvil als auch Netwalker verschlüsselt oder parallel MedusaLocker und GlobeImposter verwendet wurden. Um nachzuweisen, dass die doppelt verschlüsselten Dateien wiederhergestellt werden können, wenn das Lösegeld bezahlt wird, stellten die Angreifer in einigen Fällen über das Webportal einer Gruppe entschlüsselte Beispieldateien bereit, die zuvor in verschlüsselter Form über das Webportal einer anderen Gruppe an sie geschickt worden waren. Offensichtlich hatten die Angreifer dort Vereinbarungen mit beiden Gruppierungen. Derartige Absprachen sind wie schon von Chainalsys behandelt keinesfalls ungewöhnlich.
Die Strategie der doppelten Verschlüsselung kommt auf zweierlei Art zum Einsatz:
- Mehrstufige Verschlüsselung: Die Daten werden mit Ransomware A verschlüsselt und anschließend mit Ransomware B ein weiteres Mal verschlüsselt.
- Parallele Verschlüsselung: Einige Systeme werden mit Ransomware A verschlüsselt und andere mit Ransomware B. Dabei wird mitunter dieselbe Dateiendung für die verschlüsselten Daten verwendet, was die Wiederherstellung weiter erschwert.
Gründe für die doppelte Verschlüsselung
Gedanken lesen können wir zwar nicht und damit auch nicht mit aller Sicherheit sagen, weshalb Angreifer die doppelte Verschlüsselung nutzen, aber es gibt einige offensichtliche Gründe:
Wiederherstellung verhindern
Die Wiederherstellung nach einem gewöhnlichen Ransomware-Angriff, der schon allein genug Schaden anrichtet, ist eine kostenintensive und zeitaufwendige Angelegenheit. Angreifer könnten sich durch die zusätzliche Verschlüsselung ein weiteres Druckmittel für den bereits aufwendigen Wiederherstellungsprozess erhoffen, um die Opfer dazu zu bringen, lieber für die Entschlüsselung als die Wiederherstellung ihrer Systeme zu bezahlen.
Höherer Gewinn
Eine doppelte Verschlüsselung verheißt auch doppelten Gewinn. Die Angreifer verlassen sich höchstwahrscheinlich darauf, dass die Opfer nicht erkennen, dass ihre Daten zweimal verschlüsselt wurden. Sie würden also für die erste Entschlüsselung bezahlen, müssen dann aber feststellen, dass es eine zweite Verschlüsselung gibt, die nur durch Zahlung einer weiteren Lösegeldforderung behoben werden kann.
Höhere Chancen auf eine erfolgreiche Bereitstellung
Die Kriminellen könnten die unterschiedlichen Ransomware-Varianten auch nutzen, um die Erfolgschancen ihres Angriffs zu erhöhen. Sollte eine Ransomware nicht richtig ausgeführt oder von einem Sicherheitstool des Opfers blockiert werden, könnte die zweite Ransomware eventuell dennoch starten.
A/B-Tests
Die doppelte Verschlüsselung kann möglicherweise auch zu A/B-Tests dienen, um zu sehen, welche Ransomware-Variante mehr Lösegeld einbringt. Basierend auf dem Ergebnis dieser Tests könnten die Angreifer dann entscheiden, welche Variante sie in Zukunft einsetzen.
Doppelte Verschlüsselung erschwert Wiederherstellung erheblich
Durch die Zahlung des Lösegelds ist den Unternehmen noch nicht wirklich geholfen. Selbst mit den Tools der Angreifer ist eine Wiederherstellung immer eine Herausforderung, die durch die doppelte Verschlüsselung nur noch größer wird – und das um ein Vielfaches.
Bereits im Falle einer einfachen Verschlüsselung besteht ein hohes Risiko, dass die Daten entweder durch die Ransomware und/oder den Decrypter der Angreifer beschädigt werden. Bei einer doppelten Verschlüsselung verdoppelt sich dieses Risiko zwangsläufig. Darüber hinaus ist die Entschlüsselung auch sehr zeitaufwendig. Mit den Tools der Angreifer ist es in der Regel nicht möglich einzelne Ordner zum Entschlüsseln vorzugeben. Stattdessen arbeitet sich der Decrypter langsam durch das gesamte System. Stürzt er dann ab, was häufig geschieht, oder stößt auf die zweite Verschlüsselung, muss der Vorgang noch einmal ganz von vorn gestartet werden. Außerdem ist bei diesen Tools häufig auch Benutzereingriff erforderlich, so dass die zu entschlüsselnden Arbeitsplätze während des gesamten Prozesses besetzt sein müssen, damit bei Bedarf Befehle eingegeben werden können. Notfalldienste müssen also zwischen verschiedenen schlecht codierten Tools hin- und herwechseln. Bei einer doppelten Verschlüsselung multiplizieren sich die Probleme folglich entsprechend.
Wiederherstellung beschleunigen und erleichtern
Wie schon angemerkt wird eine Wiederherstellung durch die doppelte Verschlüsselung noch weiter erschwert. Ohne entsprechende Hilfsmittel könnte das für Unternehmen erheblich längere Ausfallzeiten bedeuten.
Um Opfern im Falle eines derartigen Ransomware-Angriffs schneller wieder auf die Beine zu helfen, bietet Emsisoft einen Universal-Decrypter an. Er wurde speziell für Vorfälle entwickelt, bei denen mehrere Ransomware-Varianten im Spiel sind. Dieser Universal-Decrypter kann die einzelnen Verschlüsselungsschichten abarbeiten, ohne dass mehrere Decrypter seitens der Angreifer benötigt werden. Dadurch wird auch verhindert, dass bei der Entschlüsselung mit deren Tools, die häufig fehlerhaft umgesetzt sind, Daten unwiederbringlich beschädigt werden.
Der skriptfähige Universal-Decrypter bietet etliche Lösungsansätze: Er ist sicherer als die von den Angreifern bereitgestellten Tools und unterstützt eine vollständige Berichterstattung. Außerdem müssen die verschlüsselten Dateien nicht erst gesichert werden und die Wiederherstellungszeit ist um bis zu 70 % kürzer.
Übersetzung: Doreen Schäfer