Die Ransomware-Gang DarkSide gibt sich längst nicht mehr mit den innovativen Methoden zur Druckausübung auf die Opfer zufrieden und hat inzwischen DarkSide Leaks erstellt, eine professionell aussehende Website, die jeglichem Online-Dienstleistungsanbieter gehören könnte und herkömmliche Werbemethoden einsetzt. Folgend werden wir anhand von fünf anschaulichen Beispielen darlegen, wie sich eine kriminelle Gruppe aus dem Untergrund zu einem Unternehmen entwickelt hat.
1. Medienkontakte
Legitime Unternehmen verfügen in der Regel über eine Art Pressezentrum oder Medienbereich. Die Cyberverbrecher von DarkSide haben das übernommen und veröffentlichen regelmäßig Nachrichten über bevorstehende Leaks und bieten Journalisten die Möglichkeit über das Pressezentrum Fragen zu stellen.
Zumindest wird das von den Cyberkriminellen behauptet. Tatsächlich möchte DarkSide damit so viel Aufmerksamkeit wie möglich in der Öffentlichkeit erregen. In den Fokus der Medien zu gelangen, könnte DarkSide dabei helfen mehr Angst zu verbreiten, womit sie eventuell erreichen können, dass die nächsten Opfer direkt zahlen, anstatt nach anderen Lösungen zu suchen.
2. Partnerschaften mit Unternehmen, die auf Entschlüsselung spezialisiert sind
Die DarkSide-Erpresser suchen unter den Unternehmen, die legitimen Service für Datenentschlüsselung anbieten, nach neuen Partnern. Der angebliche Grund hierfür ist, dass manche Opfer keine eigenen IT-Sicherheitsabteilungen haben und für die Entschlüsselung ihrer Daten auf den Service von externen Experten angewiesen sind. DarkSide bietet diesen Experten technische Unterstützung und sogar Mengenrabatt an.
Das Täuschungsmanöver ist in diesem Fall recht offensichtlich. Die Gauner suchen nicht nach Opfern, die nicht in der Lage sind die Daten zu entschlüsseln, sondern nach hohen Geldbeträgen. In manchen Fällen ist es Staatsunternehmen verboten mit Erpressern zu verhandeln, aber sie dürfen mit Unternehmen zusammenarbeiten, die Entschlüsselungsservice anbieten. Arbeiten diese Dienstleister mit den Cyberverbrechern zusammen, dann fungieren sie sozusagen als Mittelsmänner, weil sie vorgeben die Daten wiederherzustellen, aber tatsächlich nur die Cyberkriminellen bezahlen und einen kleinen Gewinn für sich behalten. Das mag zwar legal sein, aber im Endeffekt stecken sie mit den Verbrechern unter einer Decke.
3. Spenden für wohltätige Zwecke
Die Erpresser haben angeblich Geld für wohltätige Zwecke gespendet und berichten darüber auf DarkSide Leaks. Warum tun sie das? Anscheinend, um zögernde Opfer davon zu überzeugen, dass ein Anteil des Lösegeldes für gute Zwecke eingesetzt wird.
Das könnte auch ein Bluff sein, denn in manchen Ländern, einschließlich in den USA, dürfen Wohlfahrtsorganisationen kein Geld annehmen, das auf illegale Art und Weise erworben wurde. In anderen Worten ausgedrückt, werden diese Organisationen das Geld nie erhalten.
4. Geschäftsanalysen
Ursprünglich konnten ausschließlich Verbrecher und einige IT-Sicherheitsexperten die Daten sehen, die von Ransomware-Betreibern gestohlen und normalerweise nur in Hackerforen veröffentlicht wurden. Manche Cyberverbrecher nutzen heutzutage Daten und Marktanalysen, um Firmenkontakte, Kunden, Geschäftspartner und Wettbewerber zu beeinflussen, bevor die gestohlenen Daten veröffentlicht werden. Sie können Links zu gestohlenen Dateien direkt an die Interessenten schicken. Auch hier geht es wieder darum, dem Angriffsziel so viel Schaden wie möglich zuzufügen, um die Lösegeldzahlung zu erzwingen und zukünftige Opfer einzuschüchtern.
5. Ethikerklärung
Auf DarkSide Leaks ist eine Ethikerklärung zu finden – genau wie die, die Unternehmen auch auf ihren Websites veröffentlichen. Hier behaupten die Cyberkriminellen beispielsweise, dass sie niemals medizinische Unternehmen, Bestattungsinstitute, Bildungseinrichtungen oder gemeinnütziger / staatliche Organisationen angreifen würden. Bei diesem Punkt sind wir uns nicht sicher, was mit der Ethikerklärung erreicht werden soll. Sollen die Opfer vielleicht denken: „Das sind keine skrupellosen Leute, also werde ich ihnen das Lösegeld auf jeden Fall zahlen“?
Erst vor Kurzem belegte ein Vorfall mit Daten von Schülern, dass auch das gelogen ist. Zwar war das direkte Angriffsziel keine Bildungseinrichtung, aber die Verbrecher drohten damit, Daten von Schulen zu veröffentlichen.
So wird richtig gehandelt
Cyberverbrecher verfügen ganz klar über die erforderlichen Ressourcen, um in Marktanalysen, Unternehmenspartnerschaften und Wohlfahrtsorganisationen zu investieren. Aus diesem Grund kann man sie am besten besiegen, indem man die Einkommensquellen versiegen lässt. Das bedeutet:
- Unter keinen Umständen das Lösegeld zahlen. Das mag ein mutiger Schritt sein, aus dem sich Konsequenzen ergeben mögen, aber zu zahlen ist auf jeden Fall nicht die richtige Entscheidung. Lesen Sie im Beitrag des offiziellen Blogs von Eugene Kaspersky warum Sie nie nachgeben sollten.
- Wir empfehlen Ihnen eine zuverlässige Sicherheitslösung auf allen Geräten zu installieren, um sämtliche Ransomware-Angriffe im Keim zu ersticken.