Drücken Sie „Enter“, um den Inhalte zu überspringen

Wann Ransomware-Opfer niemals zahlen sollten

Last updated on Dezember 16, 2020

Ransomware-Banden setzen nicht mehr nur darauf, fremde Daten zu verschlüsseln und anschließend ein Lösegeld für die Wiederherstellung zu verlangen. Das ist das klassische Geschäftsmodell der Erpresser. Mittlerweile wird in nahezu 50 Prozent der Ransomware-Angriffe aber auch damit gedroht, die Daten im Internet zu veröffentlichen, wenn nicht gezahlt wird. Damit ändert sich die Bedrohungslage.

Situationen, in denen ein Backup nicht mehr hilft

Bisher konnten Ransomware-Opfer, die rechtzeitig alle wesentlichen Daten mit einem Backup gesichert hatten, diese meist wiederherstellen und dann die Drohung mehr oder weniger ignorieren. Das geht nun nicht mehr so einfach. Jetzt müssen die Opfer mit den Erpressern meist Kontakt aufnehmen, um herauszufinden, welche Daten gestohlen wurden. Damit befinden sie sich in einer äußerst schwierigen Situation. Selbst dann, wenn sie zahlen, müssen sie damit rechnen, dass die Erpresser erneut Geld verlangen oder die Daten trotzdem veröffentlichen.

Die amerikanische Sicherheitsfirma Covewave hat sich darauf spezialisiert Ransomware-Opfern zu helfen. In einem Bericht schreibt das Unternehmen:

Previously, when a victim of ransomware had adequate backups, they would just restore and go on with life; there was zero reason to even engage with the threat actor. Now, when a threat actor steals data, a company with perfectly restorable backups is often compelled to at least engage with the threat actor to determine what data was taken.

Covewave hat eine Liste mit Ransomware-Gruppen veröffentlicht, die ihre Opfer selbst nach einer erfolgten Zahlung hintergangen haben, indem sie die Daten trotzdem veröffentlichten oder indem sie ein weiteres Mal Geld forderten. Auf der Liste stehen so illustre Namen wie Sodinokibi, Maze, Netwalker, Mespinoza und Conti.

Unerwartete Aktionen der Erpresser

Auch wenn die Opfer sich dazu entscheiden, zu zahlen, um eine Veröffentlichung zu verhindern, müssen sie laut Covewave mit folgenden Aktionen der Erpresser rechnen: Erstens können sie sich nicht darauf verlassen, dass die gestohlenen Daten wirklich vernichtet werden. Zweitens sei es vorgekommen, dass die geklauten Daten in die Hände anderer Gruppen gelangten, die dann ihrerseits Erpressungen lancierten und drittens kam es bereits vor, dass die Daten entweder aus Versehen oder absichtlich trotzdem an die Öffentlichkeit gelangten.

Damit befinden sich die Opfer in einer sehr schwierigen Lage. Es macht nämlich einen großen Unterschied, ob sie für einen Schlüssel bezahlen, mit dem sie verlorene Daten wiederherstellen können, oder für eine „Leistung“, für deren Einhaltung niemand garantieren kann. Covewave kommt daher zu dem Fazit, dass es in einer solchen Situation nahezu keine Vorteile bringt, zu zahlen.

Paying a threat actor does not discharge any of the above, and given the outcomes that we have recently seen, paying a threat actor not to leak stolen data provides almost no benefit to the victim.

Der Covewave-Report enthält noch weitere interessante Erkenntnisse. So ist etwa die durchschnittliche bezahlte Lösegeldsumme in den vergangenen Monaten deutlich gestiegen.

Gib den ersten Kommentar ab

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.