28.11.2024

Double Extortion: Warum Ransomware trotz Backup gefährlich ist

Für viele Unternehmen ist es der absolute Albtraum: Eben noch funktionierten die Daten reibungslos, und im nächsten Moment sind sie vollständig verschlüsselt und unzugänglich. Ransomware-Angriffe sind längst keine Seltenheit mehr, und ein besonders häufiges Szenario ist die sogenannte Double Extortion. Was sich dahinter verbirgt und wie solche Angriffe ablaufen, erläutert der folgende Beitrag.

Was versteht man unter Double Extortion Ransomware?

Typischerweise beinhalten Ransomware-Angriffe ein Druckmittel: die Verschlüsselung der Daten auf einem oder mehreren Systemen. Die Angreifer fordern dann ein Lösegeld, um die Daten wieder freizugeben. Double Extortion geht jedoch einen Schritt weiter: Hier setzen die Angreifer zusätzlich weitere Druckmittel ein. 

Der Begriff „Double Extortion“ bedeutet wörtlich übersetzt „doppelte Erpressung“. Es geht jedoch nicht um eine Verdopplung des Lösegelds, sondern um die Anwendung mehrerer Erpressungsmethoden gleichzeitig, um den Druck auf das betroffene Unternehmen zu maximieren und die Zahlung des Lösegelds unausweichlich erscheinen zu lassen.

Die zusätzlichen Hebel der Angreifer

Neben der Verschlüsselung der Unternehmensdaten besteht die größte Bedrohung darin, dass vertrauliche und sensible Informationen veröffentlicht werden könnten. Bei der Double Extortion kopieren die Angreifer häufig die Daten, bevor sie diese verschlüsseln. 

Dabei konzentrieren sie sich auf besonders sensible Informationen, die sie dann in eine ihnen zugängliche Cloud hochladen. Anschließend drohen sie damit, diese Daten zu veröffentlichen oder versteigern. Darüber hinaus setzen sie oft zusätzliche Mittel ein, um den Druck auf das Unternehmen zu erhöhen. 

Ein gängiges Beispiel sind Drohungen mit sogenannten DDoS-Angriffen (Distributed Denial of Service) gegen bestimmte Dienste. Ebenso können die Angreifer Informationen aus den Systemen extrahieren, die als weiteres Druckmittel dienen. Ein typisches Beispiel ist die Entdeckung von Verstößen gegen die DSGVO. 

In solchen Fällen fordern die Angreifer häufig eine Summe, die niedriger ist als das mögliche Bußgeld, das bei einer Aufdeckung drohen würde. Damit versuchen sie, das Unternehmen vor dem öffentlichen Gesichtsverlust und den Konsequenzen seitens der Aufsichtsbehörden zu „schützen“.

Ablauf eines Double Extortion-Angriffs

Ransomware-Angriffe sind weit verbreitet, und Double Extortion ist ein besonders beliebtes Szenario. Obwohl jeder Angriff individuell abläuft, gibt es gängige Muster, die bei dieser Art von Angriffen häufig vorkommen. Unternehmen können sich besser schützen, wenn sie diese typischen Szenarien kennen.

Phase 1: Die Systeme infiltrieren

Es gibt viele Methoden, um in ein System einzudringen und es zu kompromittieren. Zu den häufigsten gehören:

  • Phishing-E-Mails
  • Sicherheitslücken in veralteter Software
  • Brute-Force-Angriffe auf Fernzugänge
  • Eingekaufte Ransomware-as-a-Service-Dienste mit vorgefertigten Exploits
  • Fehlerhafte Firewall-Einstellungen
  • Infizierte externe Geräte
  • Drive-By-Downloads über kompromittierte Webseiten
  • Social Engineering-Angriffe

Phase 2: Ausbreitung im Netzwerk

Nach dem erfolgreichen Eindringen in das System versuchen die Angreifer, ihre Zugriffsrechte auszubauen und weitere Systeme zu infizieren. Ziel ist es, größere Mengen an Daten auszuspähen. Dabei verwenden sie oft einfache Tools und Protokolle, wie etwa das Remote-Desktop-Protokoll, sofern dieses freigegeben ist. 

In dieser Phase versuchen die Angreifer auch, ihre Rechte auf den Systemen zu erweitern, um höhere Zugriffsrechte zu erlangen (Privilege Escalation). Dies verschafft ihnen umfassendere Möglichkeiten, auf die Systeme zuzugreifen und weitere Schritte einzuleiten.

Phase 3: Datenabfluss

Sobald die Angreifer sich einen Überblick über die Infrastruktur verschafft haben und über erhöhte Rechte verfügen, beginnen sie mit der Identifizierung und dem Kopieren wichtiger Unternehmensdaten. Eine gängige Methode zur Datenexfiltration ist das Hochladen in einen Cloudspeicher, auf den die Angreifer Zugriff haben, um die Daten später herunterzuladen.

Phase 4: Aktivierung der Ransomware

Nachdem die Angreifer alle notwendigen Daten gesichert haben, leiten sie den eigentlichen Angriff ein. Sie platzieren und aktivieren die Ransomware, die alle erreichbaren Daten verschlüsselt. In der Regel hinterlassen sie eine sogenannte Ransomnote, eine Textdatei, die die Lösegeldforderung und Kontaktinformationen enthält. Häufig drohen die Angreifer zusätzlich mit der Veröffentlichung oder dem Verkauf der exfiltrierten Daten.

Präventive Schritte gegen Double Extortion-Angriffe

Ransomware-Angriffe stellen Unternehmen vor große Herausforderungen. Es gibt jedoch Maßnahmen, mit denen sie sich davor schützen können. Eine wirksame Schutzstrategie muss individuell auf die jeweilige IT-Infrastruktur zugeschnitten sein. Einige Maßnahmen, die in vielen Unternehmen umsetzbar sind, umfassen:

  • Schulungen zur Sensibilisierung der Mitarbeiter
  • Einsatz von Spam- und Webfiltern
  • Sperrung nicht benötigter Ports
  • Regelmäßige Updates und Sicherheitspatches
  • Verwendung von Multi-Faktor-Authentifizierung
  • Segmentierung des Netzwerks in isolierte Bereiche

Sinnvolle Maßnahmen im Ernstfall

Im Falle eines Angriffs ist es entscheidend, den Schaden zu minimieren und den Kontrollverlust zu verhindern. Zu den sinnvollen Maßnahmen gehören:

  • Engmaschige Überwachung der Systeme auf Auffälligkeiten
  • Einhaltung von DSGVO und anderen Vorschriften, um Erpressbarkeit zu reduzieren
  • Isolierung betroffener Systeme
  • Implementierung eines umfassenden Notfallplans
  • Bereithalten von aktuellen Offline-Backups
  • Strategien zur sicheren Wiederherstellung der Systeme aus den Backups

Die Vorbereitung ist entscheidend

Zusammenfassend lässt sich sagen, dass Ransomware-Angriffe, insbesondere in Form von Double Extortion, eine ernsthafte Bedrohung darstellen. Täglich werden IT-Systeme und ganze Infrastrukturen angegriffen. Unternehmen sollten daher stets auf solche Angriffe vorbereitet sein. 

Durch entsprechende Vorbereitungen, wie das regelmäßige Erstellen von Offline-Backups, die Entwicklung von Notfallplänen und die Segmentierung des Netzwerks, können die Folgen eines Angriffs deutlich gemildert werden. 

Letztlich ist es nicht die Verschlüsselung selbst, die das größte Problem darstellt, sondern die unzureichende Vorbereitung auf solche Szenarien. Wenn technische Maßnahmen ergriffen werden, um den Angreifern ihre Vorhaben zu erschweren, bleibt der Angriff zwar ärgerlich, aber er gefährdet nicht mehr die Existenz des Unternehmens.

FAQ – Häufig gestellte Fragen zu Double Extortion Ransomware

Wie funktionieren Double Extortion Ransomware Attacken?

Double Extortion Ransomware-Attacken verschlüsseln zunächst die Daten eines Unternehmens und stehlen sie. Die Angreifer drohen dann, die gestohlenen Daten zu veröffentlichen, um zusätzlich Druck auszuüben und das Unternehmen zur Zahlung des Lösegelds zu zwingen.

Was ist das Ziel von Double Extortion Ransomware?

Das Hauptziel von Double Extortion Ransomware ist es, Unternehmen durch Datenverschlüsselung und Drohungen finanziell zu erpressen. Die Angreifer maximieren den Druck, indem sie mit der Veröffentlichung sensibler Informationen drohen, um die Lösegeldzahlung unausweichlich erscheinen zu lassen.

Wie handelt man nach einer Double Extortion-Attacke?

Nach einer Double Extortion-Attacke sollten betroffene Systeme isoliert werden, um weiteren Schaden zu verhindern. Unternehmen sollten Notfallpläne ausführen, die Systeme auf Auffälligkeiten überwachen und sicherstellen, dass aktuelle Offline-Backups vorhanden sind, um eine schnelle Wiederherstellung zu ermöglichen.

Beitrag teilen
Zurück zu Ransomware

Wir stehen Ihnen mit unserer Erfahrung zur Seite.

Sie wünschen sich eine persönliche Beratung? Melden Sie sich gern per ausgefülltem Formular oder Anruf bei uns.

Joanna Lang-Recht

Head of IT Forensics

24/7 IT-Notfallhilfe

0180 622 124 6

20 Ct./Anruf aus dem Festnetz, Mobilfunk max. 60 Ct./Anruf

Direkt Kontakt aufnehmen

page decor page decor page decor page decor