Eine Sicherheitsfirma hat anhand von Kaufgesuchen im Darknet ermittelt, nach welchen Gesichtspunkten Ransomware-Cybergangs die Unternehmen auswählen, von denen sie Lösegeld für ihre böswillig verschlüsselten Daten erpressen wollen.
Insgesamt 48 Foren-Beiträge aus dem Juli 2021 hat die Security-Intelligence-Firma Kela untersucht. Aufgegeben hatten die Suchanzeigen verschiedene Ransomware-Akteure; Adressaten waren sogenannte Initial Access Broker (IAB). Das sind Hacker, die sich gänzlich auf das erste Eindringen in Firmennetze über Methoden wie Brute-Force-Passwortangriffe, Exploits oder Phishing verlegt haben. Die Zugangsdaten verkaufen sie dann meistbietend an andere Cyberkriminelle, die darüber dann ihren Schadcode einschleusen.
40 Prozent der von Kela untersuchten „Suchanzeigen“ in den Darknet-Foren stammten aus dem Umfeld von einschlägig bekannten Ransomware-Gangs. In einem Fall suchte die als „BlackMatter“ bekannte Erpresserbande Ziele speziell aus den USA, Kanada, Australien und Großbritannien mit mindestens 100 Mio. US-Dollar Jahresumsatz und 500 bis 15.000 Hosts. Für die Zugangsdaten würde man jeweils 3000 bis 100.000 USD zahlen.
Auch Europa ist ein beliebtes Ziel
Aus rund 20 untersuchten Anfragen hat Kela verschiedene Kriterien ermittelt, nach denen Ransomware-Erpresser ihre Opfer auswählen. Als da wären
- Geografie: Ransomware-Banden bevorzugen Opfer in den USA, Kanada, Australien sowie Europa. In den meisten Gesuchen wurde die gewünschte Region ausdrücklich genannt. Am häufigsten gewünscht waren die USA (47 Prozent, gefolgt von Kanada und Australien mit jeweils 37 Prozent und europäischen Ländern (31 Prozent). In den meisten Fällen standen mehrere Länder auf der Wunschliste. Als Grund für den geografischen Fokus nennt Kela die Annahme, dass die zahlungskräftigsten Opfer in den größten und entwickeltsten Ländern vermutet werden.
- Umsatz: Im Schnitt suchten die Erpresser nach Firmen mit mindestens 100 Millionen USD Jahresumsatz. Teilweise wurde hier aber auch je nach Zielland unterschieden. In einem konkreten Fall wurden beispielsweise US-Unternehmen mit mindestens 5 Mio. USD, europäische Opfer mit wenigstens 20 Mio. USD oder Firmen aus „Drittweltländern“ mit Minimum 40 Mio. USD Jahresumsatz gesucht.
- Sperrlisten für Branchen: Schon vor den Angriffen auf Colonial Pipeline und den Fleischkonzern JBS ließen die meisten Ransomware-Cyberganoven die Finger vom Gesundheitswesen. Danach wurden sie auch bei anderen Industrien vorsichtiger und wählerischer. In den von Kela untersuchten Anzeigen schlossen 47 Prozent Healthcare und Bildungswesen ausdrücklich aus (jeweils 47 Prozent), 37 Prozent ließen die öffentlichen Hände bewusst außen vor und 26 Prozent nicht gewinnorientierte Organisationen. Beim Gesundheitswesen und Non-Profits dürften nach Einschätzung von Kela primär moralische Bedenken gegen einen Angriff sprechen, beim Bildungswesen ist es eher das Wissen, dass hier die Opfer nicht viel Lösegeld zahlen können.
- Länder-Sperrlisten: Selten Ziel einer Ransomware-Attacke sind Länder der Gemeinschaft Unabhängiger Staaten (GUS), wohl in der Annahme, dass deren Behörden sie im Gegenzug gewähren lassen. Neben Russland betrifft das unter anderem die Ukraine, Moldau, Belarus, Kirgistan, Kasachstan, Armenien, Tadschikistan, Turkmenistan und Usbekistan.
Dumm nur: Wer nicht ins durchschnittliche Beuteschema passt, darf sich leider keineswegs sicher fühlen. Eine ganze Reihe von Ransomware-Gangs – etwa Dharma, STOP und Globe – sind laut Kela deutlich weniger wählerisch. Als Firma sollte man sich daher keinesfalls in trügerischer Sicherheit wähnen, sondern sich möglichst effektiv gegen alle Arten von Cyberbedrohungen schützen.
Hacker-Schutz mit Retarus: So wappnen Sie sich gegen Ransomware-Attacken
Zu den Maßnahmen gegen Ransomware-Attacken gehört unbedingt ein Anti-Phishing-Schutz für die E-Mail-Postfächer, wie ihn beispielsweise die modulare Secure Email Platform von Retarus beinhaltet – auch als Ergänzung zu Cloud-Bürosoftware wie Microsoft 365 oder Google Workspace. Ihre Nutzer können Sie mit unserem kostenlosen Anti-Phishing-Guide in fünf Sprachen für das heikle Thema sensibilisieren. Weitere Informationen bekommen Sie auf unserer Webseite oder direkt bei Ihrem Retarus-Ansprechpartner vor Ort.