Von wegen Darknet – Ransomware-Gangs setzen Opfer per Social Media unter Druck
Die Androhung, Daten zu veröffentlichen, ist der wichtigste Spielzug für Ransomware-Gangs. Je mehr Aufmerksamkeit ein Vorfall erregt, umso größer die Blamage, der Rufschaden oder die rechtlichen Folgen für das Opfer – und damit die Wahrscheinlichkeit, dass die für den Angriff verantwortlichen Kriminellen das Lösegeld erhalten.
Doch nicht jeder Angriff erregt öffentliche Aufmerksamkeit. Indem die Nachrichten bereits mit Berichten über Cyber-Angriffe übersättigt sind, kann ein gewöhnlicher Vorfall leicht untergehen.
Um die Reichweite zu vergrößern, sind einige Ransomware-Gruppen dazu übergegangen, die Neuigkeiten ihrer Erfolge über soziale Netzwerkkanäle einem größeren Publikum bekannt zu machen und damit den Druck auf die Opfer zu erhöhen, das Lösegeld zu bezahlen.
Leak-Seiten eignen sich nicht als gute Werbung
Unter Ransomware-Gangs ist Double Extortion inzwischen zu einem Standardvorgehen geworden. Es folgt einer schlichten Logik: Nachdem die Daten erfolgreich von dem anvisierten Unternehmen gestohlen wurden, drohen die Kriminellen, diese zu veröffentlichen, sofern das Opfer nicht das Lösegeld bezahlt. Auf diese Weise können Sie mit dem Angriff doppelt verdienen – einmal für die Entschlüsselung der verschlüsselten Daten und zum anderen für die Herausgabe der gestohlenen Daten.
Weigert sich ein Opfer, das Lösegeld zu bezahlen, werden die gestohlenen Daten in der Regel über die eigene Plattform der Ransomware-Gang veröffentlicht. Häufig handelt es sich dabei um eine Tor-Seite, auf die nur über das Darknet zugegriffen werden kann und die meistens nur von Sicherheitsforschern oder anderen Cyberkriminellen aufgerufen wird. Um gestohlene Datensätze unauffällig zu veröffentlichen, ist das sicher eine gute Lösung, allerdings alles andere als geeignet, eine Botschaft einem großen Publikum zugänglich zu machen. Das ist jedoch das Ziel der Angreifer, um den Vorfall bekanntzumachen und damit ihre Chancen auf die Zahlung des Lösegeld zu erhöhen. Leak-Seiten sind folglich eher wie Kleinanzeigen als großformatige Werbeplakate.
Um die Neuigkeiten über ihren Angriff den Massen zugänglich zu machen, nutzen Kriminelle nun große Social-Media-Plattformen.
Gefälschte Beiträge über Grief-Angriff auf NRA mittels Twitter-Bots
Im Oktober 2021 wurde The National Rifle Association of America (NRA) Opfer von Grief, eine der vielen Ransomware-Versionen, die der geschäftigen russischen Cybercrime-Gruppe Evil Corp. zugeschrieben wird. Die Angreifer veröffentlichten auf der Leak-Seite von Grief 13 Dokumente, die angeblich während des Angriffs gestohlen worden waren, wozu unter anderem Protokolle von Vorstandstreffen und Anträge auf Zuschüsse gehörten.
Bis dahin verlief der Angriff wie nahezu jeder andere Vorfall – zumindest nach Ransomware-Maßstäben. Kurz nachdem Grief Einzelheiten zu dem Angriff bekannt gab, kam es jedoch zu sehr ungewöhnlichen Aktivitäten: Überall auf Twitter begannen plötzlich Hunderte Konten Beiträge über den Angriff zu tweeten.
Es war offensichtlich, dass diese Flut an Mitteilungen nicht normal war. Die Konten, die diese Tweets posteten, waren alle zwischen August und September 2021 erstellt worden. Die meisten davon folgten niemanden und hatten auch selbst kein Follower. Der Großteil hatte außerdem nur das Twitter-Standardprofilbild, während die restlichen Profilbilder offenbar von russischen Dating-Sites wie Tralolo und Shuri-Muri stammten. Alle Konten waren darauf ausgelegt, Inhalte zu den von Grief verursachten Angriffen zu bewerben.
Das war keine zufällig viral gegangene Sensation, sondern eine sorgfältig geplante Informationskampagne, um einen eher unauffälligen Angriff zur Hauptschlagzeile zu machen und NRA damit zur Zahlung zu zwingen. Grief war höchstwahrscheinlich an dieser Twitter-Kampagne beteiligt. Es ist jedoch unklar, ob das Netzwerk der Twitter-Trolle tatsächlich von Grief aufgebaut und betrieben wurde oder die Gruppe mit Dritten zusammengearbeitet hat.
Ragnar Locker bewirbt Angriff mit Facebook-Anzeigen
Die Grief-Twitter-Kampagne war jedoch nicht das erste Mal, dass sich Angreifer soziale Netzwerke zunutze gemacht haben, um mehr Aufmerksamkeit für ihre Angriffe zu erregen.
Anfang November 2020 waren die Systeme der Campari Group von Ransomware infiziert worden, wodurch der Betrieb des italienischen Getränkeanbieters erheblich gestört wurde. Ein paar Tage später gestand das Unternehmen den Angriff in einer Stellungnahme ein wobei es angab, dass „zu diesem Zeitpunkt nicht vollständig ausgeschlossen werden kann, dass einige persönliche oder geschäftliche Daten gestohlen wurden“.
Am 9. November 2020 wurden Werbeanzeigen in Facebook geschaltet, mit denen offensichtlich der öffentliche Druck auf die Campari Group erhöht wurde, das Lösegeld zu zahlen. Den Anzeigen nach war die Stellungnahme der Campari Group „lächerlich und eine große fette Lüge … Wir können bestätigen, dass vertrauliche Daten gestohlen wurden und wir sprechen von einer enormen Menge.“.
Laut den Anzeigen hatte die erfolgreiche Cybercrime-Gruppe Rangar Locker zwei Terabyte an Daten gestohlen und gab der Campari Group bis 18:00 Uhr EST, um zur Herausgabe der gestohlenen Daten ein Lösegeld auszuhandeln.
Wie KrebsOnSecurity herausfand, waren die Anzeigen von Hodson Event Entertainment finanziert worden. Das Konto gehört einem DJ aus Chicago, dessen Facebook-Konto gehackt worden war. Die Angreifer hatten für die Kampagne 500 USD ausgegeben und damit etwa 7 150 Benutzer erreichen können, bevor Facebook sie deaktivierte.
Twitter und Tumblr von anderen Gruppen genutzt
Nicht jede Ransomware-Gruppe macht sich jedoch die Mühe, ihre Angriffe mit Twitter-Bots oder bezahlten Anzeigen zu bewerben. Es gibt etliche Gangs, wie DoppelPaymer, 54bb47h oder Marketo, die Social-Media-Plattformen geradeheraus als Waffe einsetzen, indem sie beispielsweise Twitter als Vertriebskanal nutzen, um ihren Angriff bei der allgemeinen Öffentlichkeit zu bewerben. Eine als RobinHood bekannte Gruppe hat kürzlich ein Tumblr-Konto eröffnet, wo sie höchstwahrscheinlich Namen ihrer Opfer und Screenshots der gestohlenen Daten veröffentlichen will.
Mitunter wenden sich Ransomware-Gruppen über soziale Netzwerke auch direkt an die Presse in der Hoffnung, dass ein Journalist die Geschichte aufgreift und damit mehr Aufmerksamkeit auf den Vorfall lenkt.
Fazit
Es ist leicht für Ransomware-Opfer, teilnahmslos zu werden, wenn das Datenleck auf eine obskure Tor-Website beschränkt ist, die ein Otto Normalverbraucher nie sehen wird. Eine andere Geschichte ist es jedoch, wenn die breite Masse öffentlich in den sozialen Netzwerken über dieselben gestohlenen, vertraulichen Daten spricht und sie weitergibt.
Natürlich ist es gegen die Geschäftsbedingungen jeder Social-Media-Plattform, gestohlene vertrauliche Daten zu posten. Leider reagieren die Unternehmen oft nicht so schnell auf die Missbrauchsmeldungen, wie sie sollten, wodurch die Plattformen für die Kriminellen zu einem effizienten Werkzeug werden.
Es ist abzusehen, dass Angreifer in ihren immer kreativeren Methoden, ihre Opfer zur Zahlung zu zwingen, sich zunehmend vom Darknet weg und hin zu Social-Media-Kanälen bewegen werden.
Übersetzung: Doreen Schäfer