Cyber Security
Verpatzte Ransomware-Angriffe
Mit Cyberangriffen haben sowohl Unternehmen als auch Privatleute zu kämpfen. Wer attackiert wurde, hat meist nichts zu lachen. Doch das Sophos Rapid Response Team hat im Zuge seiner Analysen einige Beispiele gefunden, die zeigen, dass auch Cyberkriminelle mal verpeilt sein können.
Ransomware ist ein kriminelles Geschäft, bei dem HackerInnen sich im ersten Schritt Zugang zu einem Netzwerk verschaffen, um unter anderem Daten zu stehlen oder Backups zu löschen. Im zweiten Schritt werden dann die Attackierten mit Lösegeld-Forderungen konfrontiert. Ein unangenehmes Szenario für Unternehmen und Privatleute gleichermaßen.
Doch wie es scheint, stehen auch Cyberkriminelle unter Druck – und machen Fehler. So hat das Sophos Rapid Response Team fünf Ransomware-Pannen zusammengestellt, die Schmunzeln oder zumindest Kopfschütteln auslösen. „Die gegnerischen Pannen, die uns ins Auge fielen, sind ein Beweis dafür, wie überfüllt und kommerzialisiert die Ransomware-Landschaft mittlerweile ist“, sagt Peter Mackenzie, Manager des Sophos Rapid Response Teams. „Als Ergebnis dieses Trends findet man verschiedene AngreiferInnen, die das gleiche potenzielle Opfer anvisieren. Rechnet man den Druck, der von Sicherheitssoftware und Incident Respondern ausgeht, dazu, ist es verständlich, dass die Attacken fehleranfällig werden.“
Die Top 5 der Ransomware-Pannen von Sophos
- Die Avaddon-Gruppe, die von ihrem Opfer gebeten wurde, doch die eigenen Daten zu veröffentlichen – man könne einen Teil nicht wiederherstellen. Die Gruppe verstand nicht, was ihr Opfer im Sinn hatte, machte die Ankündigung, Opferdaten zu veröffentlichen, wahr und das betroffene Unternehmen kam so wieder in den Besitz seiner Daten.
- Die Maze-AngreiferInnen, die eine große Menge Daten von einem Unternehmen stahlen, nur um dann herauszufinden, dass diese unlesbar waren: bereits verschlüsselt von der DoppelPaymer Ransomware. Eine Woche vorher.
- Die Conti-SpezialistInnen die ihre eigene, neu installierte Hintertür verschlüsselten. Sie hatten AnyDesk auf einem infizierten Rechner installiert, um sich Fernzugang zu sichern und rollten dann die Ransomware aus, die alles auf dem Gerät verschlüsselte. Natürlich auch AnyDesk.
- Die Mount-Locker-Bande, die nicht verstehen konnte, warum ein Opfer sich weigerte zu zahlen, nachdem sie eine Stichprobe geleakt hatten. Warum auch? Die veröffentlichen Daten gehörten zu einer ganz anderen Firma.
- Die AngreiferInnen, die die Konfigurations-Dateien für den FTP Server, den sie zur Datenexfiltration nutzten, zurückließen. Damit konnte sich das Opfer einloggen und die gestohlenen Daten sämtlich löschen.
Lesen Sie mehr zum Thema
