Ransomware-Gruppen leaken Daten über eigene Plattformen

Matthias Canisius erörtert neuen Malware-Trend der Daten-Publikation über Plattformen von Ransomware-Angreifern

[datensicherheit.de, 28.08.2020] Meldungen über geschlossene Untergrundmärkte im sogenannten Darknet seien an sich nichts Neues: Plattformen wie „Hansa“ und „Alpha Bay“ seien 2017 mit Hilfe der Ermittlungsbehörden geschlossen worden, andere wie „Dream Market“ hätten ihre Pforten aus eher widersprüchlichen Gründen geschlossen. „Der springende Punkt ist auch nicht, wie diese Anbieter heißen, sondern dass jedes Mal, wenn einer nicht mehr verfügbar ist, sofort ein neuer Dienstleister aufmacht und mit einem ähnlichen Geschäftsmodell Millionen an den illegalen Tätigkeiten seiner Nutzer verdient“, sagt Matthias Canisius, „Regional Director CE & EE“ bei SentinelOne. Lange Zeit habe es so ausgesehen, als wenn Cyber-Kriminelle ihre erbeuteten Daten vor allem auf solchen Marktplätzen vertreiben würden, doch die weitere Professionalisierung scheine dieses Schema aufzubrechen.

Foto: SentinelOne 2020

Matthias Canisius: Ransomware-Angreifer kopieren Daten und drohen dann auch noch mit deren Veröffentlichung

Aufbau eigener Plattformen zur Veröffentlichung kopierter Daten

In letzter Zeit häuften sich Informationen, dass die großen und leider erfolgreichen Ransomware-Betreiber so gefährlicher Schadsoftware wie „Maze“, „Emotet“ und „Trickbot“ sich einerseits zusammenschlössen und andererseits sogar eigene Plattformen zur Veröffentlichung der kopierten Daten ins Leben riefen. Der Begriff hinter dieser Taktik nenne sich „Double Extortion“.
Canisius: „Damit ist gemeint, dass die Angreifer einerseits die Daten nach einem Ransomware-Angriff kopieren und dann auch noch bei der Erpressung mit einer Veröffentlichung drohen.“ Eines der letzten Opfer seien die Technischen Werke Ludwigshafen, wie „Golem“ im Mai 2020 berichtet habe.

Auch kriminelle Gruppen haben großes Sicherheitsbedürfnis und nutzen lieber eigene Plattformen

Für Cyber-Kriminelle bedeute das Leaken von Informationen über eigene Kanäle mehr Sicherheit, „so paradox es klingen mag, aber auch diese Gruppen haben ein ausgesprochen großes Sicherheitsbedürfnis“. Durch die Unabhängigkeit von Darknet-Märkten müssten sie sich weniger Sorgen darum machen, enttarnt und von den Ermittlungsbehörden gefasst zu werden.
Das Kommen und Gehen dieser Marktplätze müsse sie also nicht mehr interessieren, zumal die Umsätze wie im Fall des kürzlich geschlossenen „Empire Markets“ auch schnell von den Betreibern der Plattformen sozialisiert werden könnten.

Unternehmen drohen DSGVO-Bußen bei Veröffentlichung personenbezogener Daten auf Plattformen

„Setzt sich dieser Trend fort, so müssen Firmen nicht nur fürchten, dass ihre Informationen verschlüsselt werden und unter Umständen verloren sind, sondern auch, dass zunehmend auch personenbezogene und für die Unternehmen selbst sensible Dokumente veröffentlicht werden“, warnt Canisius.
Dies ziehe dann nicht nur die üblichen DSGVO-Bußen nach sich, sondern erhöhe den Reputationsschaden für das Opfer enorm.

Weitere Informationen zum Thema:

ZDNet, 25.08.2020
Conti (Ryuk) joins the ranks of ransomware gangs operating data leak sites / More and more ransomware gangs are now operating sites where they leak sensitive data from victims who refuse to pay the ransom demand

golem.de, 14.05.2020
Nach Hack / Daten von Stadtwerken Ludwigshafen im Darknet veröffentlicht

Bitcoin.com, Jamie Redman, 26.08.2020
Sources Say World’s Largest Darknet Empire Market Exit Scammed, $30 Million in Bitcoin Stolen

datensicherheit.de, 15.07.2020
Die Stoppuhr tickt: Wie Ransomware eine Eventmeldung über einen Sicherheitsverstoß in Gang setzen kann