Lockbit-Gruppe: Ransomware-Angriff per RaaS auf Subway

Richard Werner kommentiert Medienberichte zu jüngster Ransomware-Attacke einer der gefährlichsten RaaS-Akteure

[datensicherheit.de, 23.01.2024] Laut aktuellen Medienberichten soll „Lockbit“ – eine RaaS-Gruppe („Ransomware as a Service“) – wieder zugeschlagen haben: Das neueste Opfer ist demnach die Frenchise-Kette Subway. Daten seien gestohlen worden und mit denen werde das Unternehmen nun erpresst. „Überraschend ist das nicht“, kommentiert Richard Werner, „Business Consultant“ bei Trend Micro. „Lockbit“ gehöre zu den gefährlichsten aktuelle aktiven RaaS-Gruppen. Ihre Opfer seien primär in den USA und Europa zu finden – diese bestünden zu etwa 70 Prozent aus kleinen und mittelständischen Unternehmen (unter 500 Mitarbeiter). Pro Halbjahr seien zwischen 500 und 800 einzelne Opfer identifizierbar. „Dabei ist allerdings zu bemerken, dass wir nur die Opfer kennen, die sich zunächst weigern zu zahlen“, so Werner und erläutert ein paar Hintergründe zur Methode:

Foto: Trend Micro

Richard Werner rät prinzipiell zur Minimierung persönlicher Daten

Ransomware-Angriff – Methode der Doppelten Erpressung

Ein Ransomware-Angriff läuft laut Werner im Endeffekt so ab: „Die Täter breiten sich innerhalb des Opfer-Unternehmens aus und verschlüsseln alle im Zugriff befindlichen Systeme. Anschließend wird das Opfer mit der Verfügbarkeit der IT erpresst.“ Diese Methode wirke heutzutage nicht mehr annähernd so zuverlässig, wie noch vor vier oder fünf Jahren, denn die Opfer könnten heutzutage auf erfahrene Cyber-Verteidigungen zurückgreifen:

„Verschiedene Erkennungstechnologien sorgen dafür, dass die Täter, wenn überhaupt, nur noch Teilbereiche eines Unternehmens übernehmen können, bevor sie auffliegen. Backup-Systeme stellen auch diese wieder her.“

So sei dann das Argument der „Verschlüssler“ in vielen Fällen gar nicht mehr so groß, wie sie es gerne hätten. Hier nun komme die Komponente „Datendiebstahl“ ins Spiel: Das betroffene Unternehmen werde damit bedroht, diese Daten zu veröffentlichen. „Sind Kundendaten betroffen oder sogar Geschäftsgeheimnisse, ist ein Anreiz geschaffen, zu zahlen. Die Namen der so bedrohten Opfer sind diejenigen, die wir, wie oben beschrieben, identifizieren und damit statistisch erfassen können.“

Empfehlung an Ransomware-Opfer, kein Lösegeld zu zahlen

Gestohlene Daten könnten aber nicht zurückgekauft werden. „Anders als bei materiellen Gütern wechselt der Besitz der Güter nicht. Sie werden einfach nur kopiert.“ Dies bedeute, dass die gestohlenen Daten im Besitz der Täter verblieben.

„Zahlt man, um eine Veröffentlichung zu verhindern, beweist man damit lediglich, dass es sich hier um wertvolle, interessante Informationen handelt, nicht um irrelevanten Datenmüll.“

Für das Opfer sei es sinnvoller festzustellen, welche Daten entwendet wurden und die Eigentümer über den Verlust zu informieren. „Denn das muss ohnehin geschehen, will man nicht bis in alle Zukunft erpressbar bleiben oder sich den Klagen Geschädigter gegenübersehen.“

Große Menge gestohlener Daten für Normalmenschen ein Problem – Datensparsamkeit generell empfohlen

Weltweit scheine nur etwa ein Siebtel der Unternehmen (ca. 14%) aufgrund der sogenannten Zweifachen Erpressung zu zahlen. Dies müsse nicht einmal mit dieser Methode zusammenhängen, sondern könne auch bedeuten, „dass das Opfer eigentlich für die Entschlüsselung zahlt und deshalb die Erpressung mit den Daten zurückgenommen wird“.

Nur: „Die große Menge gestohlener Daten, über die – wie hier bei Subway auch – gesprochen wird, ist letztlich ein Verkaufsargument. Die Spekulation über mögliche Skandale oder wertvolle Inhalte soll vor allem Kaufinteressenten identifizieren.“ Denn damit werde das Geld gemacht, wenn das Opfer nicht zahlt. Die große Menge an gestohlenen Daten sei nun wiederum für uns Normalmenschen ein Problem. Denn an irgendeiner Stelle seien wir betroffen: „Eine geklaute Telefonnummer kann ein ,Enkeltrick’ werden. Auf die entwendete E-Mail-Adresse folgt ein Phishing-Angriff. An die physische Adresse werden Fake-Pakete gesendet und was mit Zahlungsinformationen passieren kann, muss niemandem erklärt werden.“

Werner unterstreicht abschließend: „All diese Daten kommen von solchen Diebstählen und je mehr davon passieren, desto genauer ist das Bild, welches über einzelne Personen gezeichnet werden kann.“ Eine Minimierung der persönlichen Daten wäre wünschenswert – außerdem, dass diese nicht ständig irgendwo eingesammelt und gespeichert werden, wenn man dann nicht in der Lage ist, sie sicher zu schützen. „Wenn es doch bloß sowas wie ein Gesetz dafür geben würde…“

Weitere Informationen zum Thema:

heise online, Dirk Knop, 22.01.2024
Datenklau: Lockbit erpresst Subway / Die Online-Bande Lockbit behauptet, bei der Fastfood-Kette Subway eingebrochen zu sein und sensible Daten kopiert zu haben

TREND MICRO, Trend Micro Research, 08.02.2022
LockBit

datensicherheit.de, 11.11.2022
LockBit 3.0: BlackBerry kommentiert Cyber-Angriff auf Continental / Cyber-Angriff auf den Dax-Konzern nur ein Beispiel der Aktivitäten rund um die RaaS-Gruppe LockBit

datensicherheit.de, 28.06.2022
LockBit 3.0: Cyber-Kriminelle starten erstes Ransomware-Bug-Bounty-Programm / Tenable kommentiert Anpassungen Cyber-Krimineller an wachsenden Verfolgungsdruck

datensicherheit.de, 14.08.2021
Accenture von LockBit-Ransomware-Angriff betroffen / LockBit-Ransomware seit September 2019 beobachtet