Auch Cyberkriminelle können irren

Pannen bei Ransomware-Angriffen

Peter Marwan lotet kontinuierlich aus, welche Chancen neue Technologien in den Bereichen IT-Security, Cloud, Netzwerk und Rechenzentren dem ITK-Channel bieten. Themen rund um Einhaltung von Richtlinien und Gesetzen bei der Nutzung der neuen Angebote durch Reseller oder Kunden greift er ebenfalls gerne auf. Da durch die Entwicklung der vergangenen Jahre lukrative Nischen für europäische Anbieter entstanden sind, die im IT-Channel noch wenig bekannt sind, gilt ihnen ein besonderes Augenmerk.
Bei einem Ransomware-Angriff gibt es normalerweise nichts zu lachen. In den vergangenen Monaten mussten das zahlreiche Firmen schmerzhaft erfahren. Da ist es tröstlich, dass sich manchmal die Angreifer auch selbst überlisten.
"Die gegnerischen Pannen, die uns ins Auge fielen, sind ein Beweis dafür, wie überfüllt und kommerzialisiert die Ransomware-Landschaft mittlerweile ist“, kommentiert Peter Mackenzie, Manager des Sophos Rapid Response Teams, die an dei Dalton-Bande erinnernden Aktionen bei manchen Ransomware-Angriffen.
"Die gegnerischen Pannen, die uns ins Auge fielen, sind ein Beweis dafür, wie überfüllt und kommerzialisiert die Ransomware-Landschaft mittlerweile ist“, kommentiert Peter Mackenzie, Manager des Sophos Rapid Response Teams, die an dei Dalton-Bande erinnernden Aktionen bei manchen Ransomware-Angriffen.
Foto: meandering images - shutterstock.com

Ransomware ist inzwischen eine der größten Gefahren für Firmennetzwerke. Zudem ist der Schaden für die betroffenen Unternehmen enorm - nicht nur, wegen der ständig steigenden Höhe der Lösegeldforderungen, sondern auch durch den durch den Angriff verursachten Betriebsstillstand, den Verlust von Daten und den enormen Aufwand zur Wiederherstellung - sofern vorher keine ausreichenden Vorkehrungen getroffen wurden.

Betroffen sind Unternehmen und Einrichtungen aus allen Branchen und jeder Größe. Die Liste der jüngsten Oper reicht vom Impfportal der italienischen Region Latium und den Landkreis Anhalt-Bitterfeld in Deutschland über die MSP-Partner von Kaseya und deren Kunden bis zum Betreiber der größten nordamerikanischen Pipeline. In allen Fällen erscheinen die Angreifer als eiskalte, hochqualifizierte und ausgesprochen akribisch arbeitende Profis. Allerdings gibt es immer wieder auch Beispiele dafür, dass selbst scheinbar perfekt geplante Ransomware-Angriffe missraten. Fünf solcher Fälle, hinter denen auch die Olsen-Bande oder die Daltons aus der Comic-Reihe Lucky Luke stecken könnten, haben die Experten von Sophos jetzt zusammengetragen.

Das Sophos Rapid Response Team hat auch eine Erklärung dafür, warum es zu diesen Pannen kommen konnte. "Eine typische Ransomware ist eine ausgefeilte, menschen-geführte Attacke, bei der die Eindringlinge oft mehrere Tage bis zu Wochen im Netzwerk verbleiben, bevor sie ihre Erpressungen starten", so das Unternehmen. "Zu jedem Zeitpunkt könnte der Angriff dabei entdeckt und blockiert werden, und das stresst besonders die Cyberkriminellen, die via Tastatur die Attacke kontrollieren. Sie müssen Taktiken mitten im Einsatz ändern, oder für die geplante Malware-Einsätze einen zweiten Anlauf nehmen, wenn der erste scheitert." Dieser Druck könne dann zu Fehlern führen, denn, so Sophos weiter: "Auch Cybergangster sind schlussendlich nur Menschen."

Top 5 der Ransomware-Pannen

  1. Die Avaddon-Gruppe wurde von einem ihrer Opfer gebeten, die eigenen Daten zu veröffentlichen, weil man einen Teil davon nicht wiederherstellen könne. Die Gruppe setzte ihre Drohung um und veröffentlichte die Opferdaten. Allerdings kam genau dadurch das betroffene Unternehmen wieder in den Besitz seiner Daten.

  2. Der Maze-Gruppe gelang es, eine große Datenmenge von einem Unternehmen zu stehlen - musste dann aber feststellen, dass diese unlesbar waren: Sie waren bereits eine Woche vorher von der Ransomware DoppelPaymer verschlüsselt worden.

  3. Die Hintermänner der Ransomware Conti hatten AnyDesk auf einem infizierten Rechner installiert, um sich Fernzugang zu sichern. Dann rollten sie die Ransomware aus, die alles auf dem Gerät verschlüsselte - darunter natürlich auch AnyDesk.

  4. Die Mount-Locker-Bande konnte nicht verstehen, warum eines ihrer Opfer sich beharrlich weigerte zu zahlen, obwohl sie eine Stichprobe gestohlener Daten geleakt hatten. Allerdings gehörten die veröffentlichen Daten einer anderen Firma.

  5. In einem anderen Fall ließen die Angreifer die Konfigurations-Dateien für den FTP-Server zurück, den sie zur Datenexfiltration nutzten. Damit konnte sich das Opfer dort einloggen und die gestohlenen Daten komplett löschen.

Mehr zum Thema

Die 5 größten Ransomware-Attacken

Erfahrungsbericht: Verlauf einer Ransomware-Attacke im Krankenhaus

Experten zur Ransomware-Attacke auf Krauss Maffei

Zur Startseite