Verhandlungen um das Lösegeld meistern

Originalartikel von Erin Sindelar, Threat Researcher

Das Risiko eines Ransomware-Angriffs ist mittlerweile wohl bekannt, vor allem auch weil moderne Ransomware-Gruppen mehrere Erpressungsmodelle verwenden. Wir wollten besser verstehen, was die Opfer eines Ransomware-Angriffs im Nachgang und beim Wiederherstellungsprozess einer solchen Attacke durchleiden. Zu diesem Zweck haben wir die Chats der Opfer mit den Kriminellen für fünf Ransomware-Familien analysiert: Conti, Lockbit 2.0, AvosLocker, Hive und HelloKitty für Linux. Jede dieser Ransomware-Gruppen verwendet Chats und eindeutige Opferidentifikatoren, um Verhandlungen und „Unterstützung“ anzubieten, während das Opfer versucht, seine Daten wiederherzustellen. Wir zeigen die Trends und Gemeinsamkeiten zwischen den Akteuren und den deren Partnern und bieten auf der Grundlage der bisherigen Erkenntnisse Leitlinien für Unternehmen an.

Ransomware-as-a-Service (RaaS)-Akteure und ihre Partner nutzten früher E-Mails, um mit den Opfern zu kommunizieren und um einen Preis für den Entschlüsselungs-Key auszuhandeln. Auf diese Weise konnten die Opfer verhindern, dass ihre Daten auf den Leak-Sites veröffentlicht wurden. Diese Art der Kommunikation führte jedoch zu Komplikationen, denn die Lösegeldforderung wurde auf jedem System in der Opferorganisation angezeigt. So kam es vor, dass mehrere Personen desselben Unternehmens die Bedrohungsakteure kontaktierten. Die Kriminellen wollten aber nicht  mehrere Mail-Konversationen mit demselben Opfer führen, um zu verhindern, dass sie sich versehentlich widersprechen oder in verschiedenen E-Mail-Threads unterschiedliche Preise anboten.

Kommunikationsmittel Chat

Deshalb begannen sie, einzigartige Opferidentifikatoren für jedes angegriffene Unternehmen einzusetzen, zumeist als Teil der Lösegeld-Nachricht. Die Lösegelddatei selbst muss auf die Tor- oder Klartext-Website der Gruppe hochgeladen werden (wie in der Lösegeldforderung angegeben), damit ein Opfer Zugang zu einer bestimmten Chat-Site erhält.

Bild 1. Conti Tor-Landingpage für die Entschlüsselung

Die Kriminellen fragen immer am Beginn der Verhandlung, mit welcher Organisation sie sprechen, obwohl sich die Opferorganisation mit ihren eindeutigen Anmeldedaten „anmeldet“. Dies deutet darauf hin, dass sie bestimmte Logins nicht mit zugeordneten Opferorganisationen korrelieren. Es könnte aber auch eine Möglichkeit sein, sich zu vergewissern, dass sie tatsächlich mit einer Opferorganisation und nicht mit einem Forscher oder einem Mitglied der Strafverfolgungsbehörden sprechen.

Das Modell der eindeutigen Opferkennung stellt sicher, dass auch dann, wenn mehrere Mitarbeiter versuchen, für das Unternehmen zu verhandeln, alle auf dieselbe Chat-Seite gelangen. Dies gilt auch für Forscher und Strafverfolgungsbeamte, die diese Chat-Seiten möglicherweise ebenfalls überwachen.

Ein Problem bei diesem Chat-Modell ist, dass die eindeutigen Opfer-IDs zwar für jedes Opfer spezifisch sind, aber das bedeutet nicht, dass sie nur von diesem Opfer verwendet werden können. Tatsächlich kann jeder – unter anderem Forscher, Strafverfolgungsbehörden und investigative Journalisten – die Unterhaltung mit einem Opfer überwachen, und die Ransomware-Gruppen wissen das. Die MountLocker-Gruppe etwa verlangt deshalb von ihren Opfern, bei der ersten Anmeldung ein eigenes Passwort aufzusetzen, um damit eine zusätzliche Vertraulichkeitsebene einzuziehen.

Unsere Erkenntnisse

Die Conti -Ransomware hat die meisten aktiven Chats, das zeigen die verfügbaren Erpressernachrichten. Jeder Chat beginnt auf die gleiche Weise, mit einer Standardnachricht an jedes Opfer. Soweit wir gesehen haben, sind diese Nachrichten immer auf Englisch, unabhängig vom Standort des Opfers. Diese Standardeinleitung zeigt ein gewisses Maß an Professionalität und deutet darauf hin, dass die Mitarbeiter der Ransomware-Gruppe bei Verhandlungen nach einem Standardplan vorgehen.

Die Chat-Konversationen der von uns analysierten Ransomware-Familien enthalten alle in der Regel einige Schlüsselpunkte, wie kritische Daten (finanzielle, Datenbanken, PIIs der Mitarbeiter oder Kunden) des Opfers. Weil manche Opfer sich zwar bereit erklären, das Lösegeld zu zahlen, aber nicht in der verlangten Höhe, rechtfertigen die Erpresser den Preis vor allem mit dem Kontostand des Opfers oder mit Angaben zur Versicherungspolice.

Preisnachlässe und Preissenkungen

Wir haben Preisnachlässe von 25 % bis 90 % auf die ursprünglichen Forderungen festgestellt. Jede Gruppe scheint diesbezüglich ihre eigene Philosophie und ihren eigenen Standard zu haben. In einigen Fällen wird ein Preis vereinbart, und die Akteure veröffentlichen die gestohlenen Daten trotzdem. In anderen Fällen geht der endgültige Preisnachlass weit über das hinaus, was die Kriminellen anfangs als ihr niedrigst mögliches Angebot angegeben haben.

Wechsel im Tonfall

Auch der Tonfall ändert sich im Laufe der meisten Gespräche deutlich. Die Kriminellen versichern zunächst nachdrücklich, dass die bestmögliche Option für ihr Opfer darin besteht zu zahlen, weil unter anderem der Verlust von Daten zu rechtlichen Problemen und Geldstrafen führen würde, oder die Inanspruchnahme eines Datenwiederherstellungsdienstes seine Zeit und sein Geld nicht wert sei. In dieser Anfangsphase spielen sie sich sogar als Helfer des Opfers auf.

Jedoch mit der Zeit werden die Kriminellen ungeduldig, aufdringlich und aggressiv. Ein wahrscheinlicher Grund dafür ist, dass sie befürchten, die Organisation des Opfers vergisst den Ernst der Lage und kann die Bedrohung ohne die „Hilfe“ der Kriminellen selbst lösen. Ihre Aussagen reichen daher von „Bitte lassen Sie uns wissen, wenn Sie weitere Fragen haben!“ bis hin zu Drohungen wie „Es handelt sich um die Anfangsphase unserer Kampagne zur Liquidierung Ihres Unternehmens… Wir sind uns bewusst, dass Sie kein Backup haben, also werden wir warten, während Sie Verluste erleiden werden.“

Gegenmaßnahmen

Um sich auf die Möglichkeit eines modernen Ransomware-Angriffs vorzubereiten, sollten Unternehmen aller Größen und Branchen Folgendes beachten:

  1. Erstellen Sie einen Plan und vor allem testen Sie ihn. Entwickeln Sie einen Plan für die Reaktion auf Ransomware-Vorfälle und führen Sie Simulationen oder Tabletop-Übungen mit allen relevanten Teams durch. Gehen Sie den Plan mit dem Vorstand und der Geschäftsleitung durch, um eine Einigung zu erzielen. Jedes Teammitglied muss seine Rolle kennen und wissen, wie sie zu erfüllen ist, bevor es zu einer tatsächlichen Krise kommt. Zum Beispiel muss entschieden werden, ob Ihr Unternehmen bereit ist, das Lösegeld zu zahlen oder nicht. Wir raten zwar davon ab, das Lösegeld zu zahlen, sollte sich Ihr Unternehmen jedoch für diesen Weg entscheiden, sollten Sie einen Plan für die finanzielle Abwicklung haben.
  2. Beauftragen Sie einen professionellen Verhandlungsführer. Es gibt Organisationen, die sich genau auf diesen Bereich der Aushandlung von Lösegeldbedingungen im Namen von Unternehmen spezialisiert haben. Nach unseren Beobachtungen ist es den meisten Ransomware-Akteuren egal, ob sie mit einem Verhandlungsführer oder einem Mitarbeiter der Opferorganisation sprechen. Grief Ransomware hat jedoch kürzlich eine andere Meinung geäußert.

Das Ziel der Verhandlungen besteht oft darin, Zeit zu gewinnen, während Sie Daten aus Ihren Sicherungskopien wiederherstellen. In der Tat wollen die Opfer in der Regel ein Durchsickern von Daten oder weitere Erpressungen verhindern, beabsichtigen aber letztlich auch nicht, das Lösegeld zu zahlen. Ist dies auch in Ihrem Reaktionsplan festgelegt, so müssen alle Beteiligten dieses Ziel verstehen, bevor ein Angriff erfolgt.

Auch müssen Unternehmen sich des Modells der mehrfachen Erpressung bewusst sein, so dass die Möglichkeit einer doppelten, drei- oder gar vierfachen Erpressung einbezogen wird. Natürlich ist das Verhindern eines Ransomware-Angriffs immer die beste Möglichkeit.

Ransomware vermeiden

Pläne für die Verteidigung gegen Erpressung können auf Sicherheitsrahmenwerken basieren, wie z. B. denen des Center of Internet Security (CIS) und des National Institute of Standards and Technology (NIST). Diese Richtlinien können bei der Festlegung von Prioritäten und der Verwaltung von Ressourcen für die Prävention, Verteidigung und Wiederherstellung vor Ransomware helfen.

Einige der  Best Practices aus diesen Frameworks:

Auditieren von Ereignissen und Inventarisieren: vorhandene Assets und Daten, autorisierte und nicht autorisierte Geräte und Software, Sicherheitsvorkommnisse.

Konfigurieren und Überwachen: Management und Nachverfolgung von Hardware- und Software-Konfigurationen, Admin-Privilegien und Zugang, Aktivitäten auf Netzwerk-Ports, Protokolle und Services, Netzwerkinfrastruktur-Geräte wie Firewalls und Router sowie deren Sicherheitskonfigurationen.

Patchen und Updaten: Regelmäßige Schwachstellenüberprüfung, Patching oder Virtual Patching, Versions-Updates für Software und Applikationen.

Systeme schützen und Daten wiederherstellen: Datenschutz, Backup und Wiederherstellungsmaßnahmen, Multifaktor-Authentifizierung

Zudem unterstützt Trend Micro Vision One™  bei der Erkennung und dem Blockieren verdächtiger Aktivitäten, auch solcher, die beim Monitoring von einer einzigen Ebene aus unbedeutend erscheinen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.