Was ist Double Extortion Ransomware? Tipps, um geschützt zu bleiben

Double Extortion Ransomware ist eine neue und kommende Ransomware-Technik, die ihre Opfer in einer Zwickmühle zurücklässt. Dieser Angriff ist nicht weniger als ein zweischneidiges Schwert und verschlüsselt nicht nur die sensiblen Daten eines Opfers, sondern nutzt sie auch aus, um Lösegeldzahlungen einzutreiben.

Was ist also doppelte Erpressungs-Ransomware und wie ist sie entstanden? Was passiert bei diesen Angriffen? Und gibt es Möglichkeiten, Sie davor zu schützen?

Die Ursprünge der Double Extortion Ransomware

Immer mehr Unternehmen werden sicherheitsbewusst und investieren in Pläne zur Notfallwiederherstellung, um Ransomware einzudämmen. Diese Verschiebung hat den Anstieg der Ransomware-Vorfälle verringert; Cyberkriminelle greifen nun zu doppelter Erpressung, um dem entgegenzuwirken.

Obwohl sie immer noch als Bedrohungstaktik für Anfänger gilt, lauert seit Ende 2019 doppelte Erpressung Ransomware. Maze-Ransomware war eine seiner ersten Versionen, und neuere Sorten sind seitdem aufgetaucht.

Die doppelte Erpressungs-Ransomware folgt einer „Jetzt bezahlen oder später durchbrechen“-Methodik. Indem sie Ihre Daten exfiltrieren und androhen, sie im Web zu veröffentlichen oder auf dem Schwarzmarkt zu verkaufen, sorgen sie dafür, dass Sie keinen Ausweg mehr haben, als das saftige Lösegeld zu bezahlen.

Was passiert bei einem doppelten Erpressungsangriff?

Dieser zweigleisige Angriff exfiltriert und verschlüsselt die Daten des Opfers gleichzeitig. Es bietet den Cyberkriminellen also zusätzliche Hebelwirkung, um das Lösegeld einzutreiben.

In der ersten Angriffssequenz gelangen die Cyberkriminellen in das Netzwerk eines Opfers. Sie tun dies, indem sie verschiedene Taktiken anwenden, darunter Phishing, Malware und Brute-Force eines RDP-Servers.

Sobald sie das Netzwerk betreten haben, versuchen die Kriminellen, alle wertvollen Assets und verbundenen Endpunkte zu lokalisieren und den Zugriff darauf zu sichern, indem sie sich seitlich bewegen. Die hochwertigen Vermögenswerte werden dann in das Speichernetzwerk des Kriminellen transferiert.

Die letzte Phase der Ransomware mit doppelter Erpressung beinhaltet die Verschlüsselung der Daten und die Forderung nach Lösegeld. Wenn die Opfer die Zahlung des Lösegelds verweigern, verkaufen die Angreifer die gestohlenen Daten in der Regel entweder oder veröffentlichen sie in öffentlichen Blogs und Online-Foren.

Letzte doppelte Erpressungsangriffe

Doppelte Erpressungs-Ransomware-Banden schießen wie Pilze aus dem Boden und werden oft im Darknet gefunden.

Im Jahr 2019 verübten Cyberkriminelle einen Angriff auf Allied Universal – einen amerikanischen Anbieter von Sicherheitssystemen und -diensten. Als sich das Unternehmen weigerte, die hohe Zahlung zu leisten, erhöhte die Ransomware-Bande den Lösegeldbetrag um 50 % und drohte, die gestohlenen Daten für eine Spam-Aktion zu verwenden. Um ihren Standpunkt zu beweisen, haben sie auch einige Informationen wie Zertifikate, Verträge und Krankenakten im Internet durchgesickert.

Eine weitere Doppelerpresser-Ransomware, die Schlagzeilen machte, war im Mai 2021 in der Colonial Pipeline. Die Gang namens DarkSide führte diesen Angriff durch und stahl 100 GB Daten. Colonial Pipeline war gezwungen, Lösegeld in Höhe von 5 Millionen US-Dollar zu zahlen, um das Gas daran zu hindern, wieder durch die Pipeline zu fließen.

Verwandt: Wer steckte hinter dem kolonialen Pipeline-Angriff?

Tipps zum Schutz vor Double Extortion Ransomware

Da doppelte Erpressung Ransomware doppelt so problematisch ist, müssen Sie besonders darauf vorbereitet sein, sie zu mildern. Hier sind einige Tipps, die Sie davor schützen können, Opfer zu werden:

1. Implementieren Sie einen Zero-Trust-Plan

Herkömmliche Sicherheitsinfrastrukturen sind insofern schwach, als sie jedem Benutzer oder Gerät innerhalb eines Netzwerks vertrauen können. Wenn ein Bedrohungsakteur irgendwie Zugang zu einem Netzwerk erhält, kann er sich leicht und ohne Auswirkungen den Weg in das Netzwerk bahnen.

In einer Zero-Trust-Policy wird jede externe Einheit als feindselig eingestuft, bis sie sich als vertrauenswürdig erwiesen hat. Es wird nur ein minimaler Zugriff auf Ressourcen gewährt.

Verwandt: Wie kann Zero-Trust Security Ransomware-Angriffe verhindern?

2. Investieren Sie in eine Ransomware-Versicherung

Eine Ransomware-Versicherung ist eine Art von Deckung, die finanzielle Verluste abdeckt, einschließlich Lösegeldgebühren und Betriebsunterbrechungskosten, die aus einem Ransomware-Angriff resultieren.

Stellen Sie sicher, dass Ihr Unternehmen in eine Ransomware-Versicherung investiert, insbesondere in eine, die Ransomware-Angriffe durch doppelte Erpressung abdeckt.

3. Angriffssimulationen durchführen

Das Durchführen simulierter Angriffe und das Einrichten von Sandboxing und Schwachstellenbewertungen ist eine großartige Möglichkeit, Ransomware einzudämmen.

Testangriffe dienen dazu, die in Ihrem Netzwerk vorhandenen Schwachstellen aufzuzeigen, damit Sie diese im Voraus beheben können.

4. Aktualisieren Sie Ihre Geräte

Veraltete Software und Geräte spielen eine wichtige Rolle dabei, Exploits wie Malware- und Ransomware-Angriffen dabei zu helfen, ihren Weg in Ihr Netzwerk zu finden.

Daher ist es wichtig sicherzustellen, dass alle Ihre internetfähigen Geräte mit den neuesten Software-Patches aktualisiert werden.

5. Bekannte Schwachstellen patchen

Um Ransomware-Angriffe abzuwehren, müssen Sie Schwachstellen schließen, sobald Sie sie bemerken.

Dies bietet ein Zeitfenster, um jede Primärinfektion zu beheben. Dank dieser zusätzlichen Zeit können Sie verhindern, dass sich Schwachstellen in Ransomware-Angriffe verwandeln.

Verwenden Sie die Zwei-Faktor-Authentifizierung

Zwei-Faktor-Authentifizierung fügt eine zusätzliche Ebene der Risikominderung hinzu, also stellen Sie sicher, dass sie in Ihrer gesamten Organisation durchgesetzt wird.

Die Zwei-Faktor-Authentifizierung hält die Bedrohungsakteure davon ab, sich seitlich im Netzwerk zu bewegen, und erschwert so Ransomware-Angriffe.

6. Datenprotokolle überwachen

Stellen Sie sicher, dass Ihr Unternehmen Datenprotokolle überwacht. Die Überwachung Ihrer Datenprotokolle kann ungewöhnliche Aktivitäten oder Versuche zur Datenexfiltration erkennen.

7. Bilden Sie Ihre Mitarbeiter aus

Neben einer angemessenen Schulung zum Sicherheitsbewusstsein aller Mitarbeiter sollte Ihr Unternehmen auch Informieren Sie Ihre Mitarbeiter darüber, was Ransomware mit doppelter Erpressung ist, wie sie verbreitet wird und welche Risiken damit verbunden sind Faktoren.

Dadurch wird sichergestellt, dass die gesamte Organisation bei der Abwehr von Ransomware-Angriffen auf der gleichen Seite ist.

8. Remote-Browser-Isolierung

Remote Browser (RB) Isolation ist ein aufkommendes Cybersicherheitsmodell, das darauf abzielt, die Surfaktivitäten eines Internetnutzers physisch von seinen lokalen Netzwerken und Infrastrukturen zu isolieren.

Diese Vorgehensweise verhindert viele browserbasierte Sicherheits-Exploits wie Ransomware- und Malware-Angriffe und wird den Kunden normalerweise als Cloud-gehosteter Dienst bereitgestellt.

Squash Double Extortion Ransomware proaktiv

Double Extortion Ransomware ist der neueste Eintrag in das ständig wachsende Arsenal von Cyberkriminellen. Sobald Sie Opfer einer doppelten Erpressung werden, kann es schwierig sein, sich zu befreien, ohne zuerst Ihre Bank zu sprengen.

Aber finanzielle Rückschläge sind nicht das einzige Problem, da doppelte Erpressungsangriffe auch das geistige Eigentum eines Unternehmens gefährden können, was zu erheblichen Reputationsschäden und Compliance-Problemen führen kann.

Wenn es um Ransomware mit doppelter Erpressung geht, ist es daher wichtiger denn je, Ihr Unternehmen proaktiv mit geeigneten Sicherheitspraktiken zu verteidigen, anstatt einen reaktiven Ansatz zu verfolgen.

10 kritische Schritte nach einem Ransomware-Angriff

Ransomware-Angriffe können Sie ohne Ihre Daten, Ihr Geld oder beides zurücklassen. Wenn Sie Opfer eines Ransomware-Angriffs sind, befolgen Sie diese Schritte.

Weiter lesen

Über den Autor