Ransomware Double-Dip : Wenn Opfer von Cyber-Erpressung erneut angegriffen werden
Daten von über 11.000 Organisationen, die einem Cyber-Erpressungs-/Ransomware-Angriff zum Opfer gefallen sind, zeigen, dass einige Opfer erneut betroffen sind. Warum ist das so und handelt es sich dabei um einen tatsächlichen zweiten Angriff oder um gestohlene Daten, die weitergereicht und erneut missbraucht wurden? Für die Opfer bedeutet keine Variante eine gute Nachricht.
Ein Blick in die aktuelle Bedrohungslandschaft bietet spannende Einblicke in die Dynamik des Ransomware-Ökosystems. Die Analyse der Daten von 11.000 Opfern in Bezug auf Strafverfolgungsaktivitäten in diesem Bereich könnte zeigen, ob die erneuten Angriffe eine Täuschung der Bedrohungsakteure darstellen. Möglicherweise versuchen sie verzweifelt, das Vertrauen ihrer Mittäter zurückzugewinnen, nachdem sie von den Strafverfolgungsbehörden gestört wurden. Oder handeln sie nur aus Rache, nachdem sie keine Zahlungen von den Opfern erhalten haben?
Trends in der Ransomware-Bedrohungslandschaft
Cyber-Erpressung oder Ransomware ist seit einigen Jahren ein großes Thema. Im aktuellen Sicherheitsbericht, dem Security Navigator 2024 (SN24) von Orange Cyberdefense, haben Untersuchungen einen Anstieg von 46 Prozent zwischen 2022 und 2023 gezeigt (im Zeitraum von Q4 2022 bis Q3 2023). Inzwischen wurden die Daten nochmals aktualisiert. Dabei zeigte sich, dass der tatsächliche Anstieg mit knapp 51 Prozent sogar noch höher ist. Dies liegt daran, dass das Bedrohungsökosystem ständig im Wandel ist, und Experten oft erst nach Abschluss des Untersuchungszeitraums von bestimmten Leckstellen und ihren Opfern erfahren.
Leider verschärft sich die Situation dadurch nur noch. Es ist schwer vorherzusagen, ob dieser Anstieg anhalten wird. Es könnte sein, dass Ransomware ihren Höhepunkt erreicht hat und die Bedrohung auf dem Niveau von 2023 bleibt. Andererseits könnte sich das Muster der Opferzahlen der letzten Jahre fortsetzen (niedrige Zahlen zu Beginn des Jahres, steigende Zahlen im Laufe des Jahres), was zu einem weiteren Anstieg der Opferzahl führen würde. Orange erwartet jedoch vorerst eine Stabilisierung der Anzahl von Ransomware-Opfern – mit etwas Glück sogar einen leichten Rückgang der Erpressungsopfer. Trotzdem ist Ransomware damit noch lange nicht besiegt.
Seit dem Ende der Datenerhebung für den SN24-Ransomware-Report vor sechs Monaten ist viel passiert. In dieser Zeit gab es insgesamt 2.141 Opfer im vierten Quartal 2023 und im ersten Quartal 2024 – fast so viele wie im gesamten Jahr 2022 (2.220 Opfer). Dies ist besonders bemerkenswert, da zwei der aktivsten Ransomware-Gruppen in dieser Zeit ins Visier genommen wurden: So versuchten die Strafverfolgungsbehörden im Dezember 2023, ALPHV zu zerschlagen. Im Februar 2024 legten sie die Infrastruktur von LockBit lahm. Diese Gruppe ging allerdings wenige Tage später wieder online. ALPHV (BlackCat) ging Anfang März 2024 offline und „verließ“ das Spiel höchstwahrscheinlich mit einem sogenannten Exit-Betrug.
Kurzlebigkeit von Ransomware-Marken erschwert Verfolgung
Frühere Strafverfolgungsaktivitäten liefern wichtige Einblicke in Ransomware-Operationen, unabhängig von ihrer Wirkung. Ein Beispiel dafür ist die Dunkelziffer der Ransomware-Kriminalität, also die Zahl der Opfer, die Orange nicht kennt, weil ihre Daten nicht auf den vom Unternehmen überwachten Leak-Sites veröffentlicht wurden. Die Kenntnis der Dunkelziffer würde helfen, das Bild der aktuellen Ransomware-Bedrohung zu vervollständigen. Das Gesamtbild würde also die tatsächliche Zahl der Opfer umfassen. Die Zerschlagung von Hive im Jahr 2023 ergab eine fünf- bis sechsmal höhere Zahl von Opfern als die, die von ihrer Datenleck-Site erfasst wurden. Wenn der Multiplikator von sechs mit der aufgezeichneten Opferzahl von 11.244 von Anfang Januar 2020 bis Ende März 2024 angewendet wird, könnte die tatsächliche Opferzahl bei bis zu 67.000 in allen Ransomware-Gruppen liegen.
Cl0p, der am häufigsten auftretende Bedrohungsakteur im Orange Datensatz, war im Jahr 2023 besonders aktiv und für 11 Prozent aller Opfer verantwortlich. Doch in den letzten sechs Monaten wurden auf der Datenleckseite der Ransomware-Gruppe nur sieben Opfer beobachtet. Cl0p tauchte in der Vergangenheit oft auf, nutzte zahlreiche Schwachstellen aus und verschwand dann wieder.
Die Anzahl der aktiven Ransomware-Gruppen ändert sich ständig, und einige Gruppen bleiben länger bestehen als andere. Der Security-Navigator-Bericht 2024 untersuchte diese Frage und stellte fest, dass die Gesamtzahl der aktiven Ransomware-Gruppen im Jahr 2023 im Vergleich zu 2022 gestiegen ist. Das Ransomware-Ökosystem ist generell sehr instabil, mit vielen Veränderungen. Die Orange-Untersuchung zeigte, dass 54 Prozent der Ransomware-Marken nach ein bis sechs Monaten wieder verschwinden. Obwohl etliche Ransomware-Gruppen, die 2022 aktiv waren, es nicht bis ins Jahr 2023 geschafft haben, führte die Zunahme neuer Gruppen zu einem Nettozuwachs an Aktivität. Dies bestätigt die Kurzlebigkeit vieler Gruppen. Interessanterweise wurden LockBit3 und ALPHV für 2023 als „dauerhaft“ eingestuft.
Die Orange-Untersuchung wurde im Rahmen der Prüfung der Wirksamkeit der Verteidigung gegen Ransomware durchgeführt. Strafverfolgungs- und Regierungsbehörden auf der ganzen Welt arbeiten hart an der Beseitigung von Cyber-Erpressung, da es sich hierbei wirklich um ein globales Problem handelt. In den letzten zweieinhalb Jahren wurde ein stetiger Anstieg der Aktivitäten von Strafverfolgungsbehörden festgestellt. Allein in diesem Zeitraum wurden 169 Aktionen zur Bekämpfung der Cyberkriminalität registriert.
Von allen dokumentierten Strafverfolgungs-Aktivitäten wurde die Cyber-Erpressung am häufigsten bekämpft. 14 Prozent aller Aktionen wurden dem Verbrechen der Cyber-Erpressung zugeordnet, gefolgt von Hacking und Betrug mit jeweils 11 Prozent. Krypto-bezogene Straftaten machten einen Anteil von 9 Prozent aus. Fast die Hälfte der Strafverfolgungs-Aktivitäten betraf Verhaftungen und die Verurteilung von Einzelpersonen oder Gruppen.
Im vorangegangenen Security-Navigator-Bericht wurde festgestellt, dass im Jahr 2023 verstärkte Bemühungen unternommen wurden, die von Bedrohungsakteuren genutzte Infrastruktur und Hosting-Dienste zu stören oder zu eliminieren. Im aktualisierten Datensatz der letzten sechs Monate ist ein noch höherer Anteil an Maßnahmen zu erkennen, die unter die Kategorie „Störung durch Strafverfolgungsbehörden“ fallen. Hierbei handelt es sich um Maßnahmen wie die Ankündigung internationaler Taskforces zur Bekämpfung von Ransomware, das Bereitstellen von Entschlüsselungsschlüsseln, die Beschlagnahme von Infrastruktur und die Infiltration von Cyberkriminalitätsmärkten. Obwohl es bereits früher Diskussionen darüber gab, ob die häufigsten Maßnahmen, wie Verhaftungen und Beschlagnahmungen, möglicherweise nicht so wirksam sind, waren die beiden jüngsten Maßnahmen der Sicherheitsbehörden sehr interessant zu verfolgen.
Im Fall der ALPHV-Gruppe, die zunächst sehr widerstandsfähig gegen die Bemühungen der Polizei schien, gab es schließlich einen betrügerischen Ausstieg aus der Szene. Dies könnte das Vertrauen im Ransomware-as-a-Service-Ökosystem stark untergraben und kurzfristig zu einem Rückgang der Opferzahlen führen, da Unternehmen und andere Akteure ihre Risiken neu bewerten. Gleichzeitig entsteht eine Lücke, die in der Vergangenheit schnell von einer neuen Ransomware-Marke gefüllt wurde.
Ähnlich wie ALPHV behauptete auch LockBit, die Zerschlagung überlebt zu haben. Doch in der Welt der Cyber-Erpressung ist der Ruf alles. Die Frage ist, ob Partner weiterhin Geschäfte mit dem „wiederbelebten“ LockBit-Akteur machen werden – müssen sie doch befürchten, dass es sich bei den wieder aufgenommenen Aktivitäten um einen Honeypot der Strafverfolgungsbehörden handelt.
Warum Opfer gern erneut attackiert werden
Das Ökosystem der Cyberkriminalität ist sehr komplex und umfasst viele verschiedene Arten von Akteuren, Rollen und Aktionen. Dies gilt in besonderem Maße auch für die Cyber-Erpressung. In den letzten zehn Jahren hat sich das Ökosystem von Cybercrime-as-a-Service (CaaS) stark weiterentwickelt und die Überwachung dieses Verbrechens um einige Herausforderungen erweitert. Eine dieser Herausforderungen besteht darin, dass nicht ein einziger Bedrohungsakteur einen Angriff von Anfang bis Ende (die gesamte Angriffskette) ausführt.
Im Ransomware-Ökosystem spielen verschiedene Akteure eine Rolle, insbesondere die sogenannten „Affiliates“ oder „Affiliate-Ransomware-Betreiber“. Diese Affiliates sind ein wesentlicher Bestandteil des Cyber-Erpressungs-Ökosystems, da sie maßgeblich darüber entscheiden, wie weitreichend und umfangreich die Cyber-Angriffe ausfallen. Die Struktur dieses Systems schafft eine Trennung zwischen den Entwicklern der Ransomware (den Malware-Autoren) und den Angreifern (den Affiliates), was den Entwicklern einen gewissen Spielraum in rechtlicher und operativer Hinsicht verschafft. Das Affiliate-Modell hat zur Verbreitung von Ransomware beigetragen und macht sie heute zu einer erheblichen Bedrohung für die Cybersicherheit. Die Art dieser Verbindungen garantiert keine Exklusivität. In einigen Fällen scheint es, dass sich Opferdaten im Ökosystem der Cyberkriminalität auf nicht immer eindeutige Weise verbreiten.
Beim Durchsuchen der Opferlisten auf Ransomware-Datenleckseiten fällt auf, dass die gleichen Opfer immer wieder auftauchen. Dies ist kein neues Phänomen und wird bereits seit 2020 beobachtet. Orange konnte jedoch endlich einen ausreichend großen Datensatz gewinnen, um eine Analyse dieser wiederkehrenden Opfer durchzuführen und zu untersuchen, ob es sich dabei tatsächlich um erneute Opfer handelt oder um andere, dem Ökosystem unbekannte Dynamiken. Es wurde festgestellt, dass einige Opfer mit Monaten oder Jahren Abstand wieder auftauchen, während andere innerhalb von Tagen oder Wochen erneut erscheinen. Diese Beobachtungen basieren auf dem Abgleich der Opfernamen.
Eine der wichtigsten Fragen bei der Untersuchung dieser möglichen Wiederholungen ist, warum einige Opfer erneut auftauchen. Einige vereinfachte Hypothesen bei der Klärung helfen:
- Eine weitere Cyber-Attacke
Es hat tatsächlich eine zweite Runde der Cyber-Erpressung oder des Angriffs gegen dasselbe Opfer stattgefunden, entweder durch die Nutzung desselben Zugangspunkts oder unabhängig vom ersten Vorfall.
- Wiederverwendung von Zugang oder Daten
Die Daten des Opfers sind möglicherweise „gereist“ (durchgesickert oder an den Untergrund verkauft) und werden erneut als Druckmittel verwendet, um das Opfer zu erpressen. Oder der Zugang wurde an andere Interessenten verkauft, aber die Daten oder der Zugang werden erneut verwendet.
- Partner-Crossover
Ein Partner hat möglicherweise die Daten des Opfers mit verschiedenen Ransomware-Operationen wiederverwendet.
Die letzte Hypothese könnte zeigen, wie sehr die Bedrohungsakteure auf Geld aus sind und wie verzweifelt sie geworden sein könnten. Es gibt sicherlich noch andere Varianten unserer Hypothesen, aber für die Analyse sollte die Sache möglichst übersichtlich gehalten werden. Die Absicht war, Muster der erneuten Viktimisierung zwischen den Akteuren zu untersuchen. Über 100 Fälle wurden identifiziert, in denen Opfer erneut gepostet wurden, entweder auf derselben oder auf der Leak-Site einer anderen Gruppe. Eine ausführlichere Analyse wird im kommenden Cy-Xplorer, dem jährlichen Ransomware-Bericht von Orange, veröffentlicht.
In der Analyse sind mehrere Cluster auffällig. Die Snatch-Gruppe zeigt zum Beispiel eine erneute Viktimisierungsaktivität, indem sie immer wieder Opfer von anderen Ransomware-Operationen wie AstroTeam, Meow, Sabbath, Karma Leaks, Cactus, Quantum, Egregor und Marketo postet. Re-Viktimisierung bezieht sich darauf, dass ein Opfer einer Straftat in der Zukunft weiteren Schaden erleidet. Im konkreten Fall bedeutet das, dass die Opfer zum Beispiel erneut unbefugten Zugriff, Datenexfiltration, Datendiebstahl, Erpressung, Verschlüsselung, Rufschädigung, finanzielle Verluste, psychologische Schäden etc. erleiden könnten.
Bei den drei Hypothesen wird das Opfer erneut zum Opfer und erleidet einen, mehrere oder alle der soeben aufgeführten Schäden. Dabei geht es nicht um die technische Raffinesse des Angriffs selbst, sondern allein darum, dass die Organisation des Opfers durch die erneute Auflistung auf einer Darkweb-Leak-Site erneut verschiedenen schweren Formen von Schaden ausgesetzt ist.
Im Cluster von ALPHV fällt auf, dass Opfer der Gruppe von MONTI, 8Base und Qilin erneut gepostet wurden (in einem Fall wurde die Opferorganisation am selben Tag sowohl auf der Leak-Site von ALPHV als auch auf der von Qilin gepostet). Gleichzeitig wurden Opferorganisationen, die zuerst auf der Leak-Site von ALPHV auftraten, von verschiedenen anderen Gruppen wie AvosLocker, LockBit, Ransomhouse, incransom, Haron, cactus etc. erneut gepostet. Diese Verbreitung desselben Opfers (nicht desselben Vorfalls) in der Cyber-Erpressungslandschaft befeuert eine andere Theorie, nämlich die „opportunistische Natur“ der Cyber-Erpressung. Es geht um viel Geld, und eine Möglichkeit, Gewinn zu erzielen, besteht darin, an verschiedenen Fronten zu agieren, um zumindest eine gewisse Form von Zahlungen zu erhalten. Dies verdeutlicht auf höchstem Niveau, wie unübersichtlich dieses Ökosystem geworden ist. Alle drei aufgestellten Hypothesen verdeutlichen die Unberechenbarkeit des Ökosystems der Cyberkriminalität.
Infolgedessen ändert die erneute Viktimisierung nichts an der Funktionsweise der Cyber-Erpressung, aber sie zeigt das Potenzial für verschiedene Formen der erneuten Viktimisierung und erhöht unglücklicherweise den Leidensdruck der Opferorganisationen, die bereits einen Cyber-Erpressungsangriff erlebt haben. Schließlich helfen solche Analysen, die Dynamik eines Ökosystems der Cyberkriminalität zu verstehen, in diesem Fall die Bedrohungslandschaft der Cyber-Erpressung/Ransomware und ihre Akteure.
Wie bei einem erstmaligen Cyberangriff ist es für Betroffene wichtig, die Faktoren zu berücksichtigen, die das Ergebnis ihrer Rolle als Opfer bestimmen. Kurz gesagt – die Cyberpraktiken eines Unternehmens, sein digitaler Fußabdruck, der Wert der Daten, die Zeit, die ein Bedrohungsakteur Zugang zur Unternehmensumgebung hat, und die Sicherheitskontrollen, die möglicherweise eingerichtet sind – all diese Faktoren beeinflussen die Attraktivität eines Unternehmens für die opportunistischen Bedrohungsakteure im Cyberspace.
Diana Selck-Paulsson, Lead Security Researcher, Orange Cyberdefense, und Wicus Ross, Senior Security Researcher, Orange Cyberdefense.
Hinweis: Dieser Bericht ist nur ein Auszug aus einer umfassenden Orange-Analyse.