Ransomware und Cyber-Erpressung

Vorwort

Als der Hip-Hop-Song »Virus« im Jahr 2000 veröffentlicht wurde, ahnte niemand, dass er prophetisch war. Im Liedtext beschreibt der Protagonist (Deltron Zero), der »einen Supervirus entwickeln will«, seine Pläne zur Infizierung und Zerstörung aller Computer auf dieser Welt: »Vernichte deine Umgebung mit einer sanften Berührung/Schrotte dein ganzes Computersystem und werfe dich auf Papyrus zurück«1.

Mehr als zwei Jahrzehnte später hat Ransomware epidemische Ausmaße angenommen und legt Krankenhäuser, Schulen, Anwaltskanzleien, Kommunen, Unternehmen und Organisationen aller Art lahm. Opfer rund um die Welt werden regelmäßig infiziert und zurück zu Papier und Bleistift gezwungen (wenn sie das Glück haben, noch Büromaterial vorzuhalten).2,3 Noch schlimmer ist aber, dass die Angreifer die mögliche Veröffentlichung der Informationen als erhebliches Druckmittel erkannt haben, das zu riesigen - und schwerwiegenden - Datenlecks führen kann.

Heutzutage betrachtet man Daten als Waffe. Indem sie die Vertraulichkeit, Integrität und Verfügbarkeit von Daten gefährden, schöpfen Kriminelle Profite ab und zwingen den Opfern ihren Willen auf. Nach Jahren eskalierender Ransomware-Angriffe, dreister Veröffentlichung von Daten und einer Flut von neuen Opfern in den Schlagzeilen haben die Täter ihre Strategien verfeinert und ein flexibles, erfolgreiches Geschäftsmodell aufgebaut.

Die Auswirkungen digitaler Erpressung sind weitreichend. Der Geschäftsbetrieb wurde eingestellt, manchmal temporär, in manchen Fällen aber auch für immer. Patientendaten wurden vernichtet und die Leben dieser Patienten gefährdet. Wichtiges geistiges Eigentum wurde an Mitbewerber verkauft. Private E-Mails und persönliche Daten werden regelmäßig der Öffentlichkeit zugänglich gemacht.

Gerichtsverfahren, die sich mit Ransomware und Datenlecks beschäftigen, nehmen deutlich zu, obwohl Opfer und Versicherer Finanzmittel für Entschädigungen und Schadensbegrenzung zurücklegen. Strafverfolgungsbehörden auf der ganzen Welt versuchen jeden Tag, cyberkriminelle Gruppen zu zerschlagen, auch wenn die Kriminellen über die Medien verlautbaren lassen, davor keine Angst zu haben.

Das Problem ist so allgegenwärtig, dass sich die Leute die volle Tragweite und die Auswirkungen oft gar nicht vorstellen können. Gleichzeitig wird Cybererpressung kaum bekannt. Schließlich melden sich die Opfer nicht gerne bei den Medien, wenn sie gehackt wurden. Die Fälle werden üblicherweise heimlich, still und leise abgewickelt. Folglich ist das wahre Ausmaß digitaler Erpressung unbekannt, aber zweifellos weit größer, als es die Statistiken andeuten.

Die Reaktion (Response) auf einen Angriff ist von wesentlicher Bedeutung. Die in den Stunden, Tagen und Monaten nach einem Ransomware-Angriff vom Opfer unternommenen Schritte können dessen Ausgang wesentlich beeinflussen.

Dieses Buch ist ein praktischer Leitfaden für die Reaktion auf digitale Erpressungsversuche wie Ransomware, Enthüllung von Daten, Denial of Service und viele mehr. Während des gesamten Buches beziehen wir uns auf bekannte Fallbeispiele, aber auch auf eine große Menge unveröffentlichter Fälle, die von den Autoren während ihrer Arbeit als Response-Experten bearbeitet wurden. Die Leser werden auf digitale Erpressungsversuche besser reagieren, den Schaden minimieren und die Wiederherstellung beschleunigen können.

Wie im Buch immer wieder hervorgehoben wird, ist die Cybererpressung üblicherweise die letzte und sichtbarste Phase eines Einbruchs. Häufig haben Cyberkriminelle über einen längeren Zeitraum Zugriff auf die Umgebung oder auf Daten des Opfers, greifen Schlüsselinformationen ab, spionieren ihre Opfer aus und installieren Malware und andere Tools, um ihre Position zu verbessern.

Durch die Nutzung effektiver Präventionsmaßnahmen innerhalb der Gesellschaft können wir das Risiko digitaler Erpressung und Cyberkriminalität im Allgemeinen verringern. Im letzten Kapitel dieses Buches tauchen wir in die der Cybererpressung zugrunde liegenden Ursachen ein und geben Empfehlungen, um dieses Risiko zu reduzieren.

Da sich die Akteure, Tools und Taktiken digitaler Erpressung ständig wandeln, konzentrieren wir uns im gesamten Buch auf bewährte Response- und Präventionstechniken, die Ihnen auch langfristig von Nutzen sein werden.

Wer sollte dieses Buch lesen?

Dieses Buch ist als wertvolle Quelle für all jene gedacht, die an der Prävention, Response, Planung und Entwicklung von Strategien im Bereich digitale Erpressung tätig sind. Dazu gehören:

• Chief Information Officer (CIO) und Chief Information Security Officer (CISO), die für die Planung der Response auf digitale Erpressung und für die Entwicklung von Präventionsstrategien verantwortlich sind
• Experten für Cybersicherheit, Incident Responder, Forensiker, Unterhändler, Krypto-Zahlungsdienstleister und alle anderen, die bei der Response auf Ransomware und Cybererpressung mitarbeiten
• technische Mitarbeiter wie Systemadministratoren, Netzwerktechniker, Helpdesk-Mitarbeiter, Sicherheitsteams und andere Personen, die für die Response auf Cyberangriffe und den Schutz der Umgebung verantwortlich sind
• leitende Angestellte, die die Gefahren digitaler Erpressung und die effektive Response sowie die Präventionsstrategien besser verstehen wollen
• Gesetzgeber, Regulierer, Strafverfolger und jeder, der sich mit den rechtlichen Grundlagen digitaler Erpressung befasst
• jeder, der mehr über Ransomware und Cybererpressung lernen will

Wie dieses Buch aufgebaut ist

Dieses Buch wurde als praktischer Leitfaden für die Response und Prävention von Ransomware und Cybererpressung entworfen. Hier eine Zusammenfassung des Weges, den wir in diesem Buch gehen:

• Kapitel 1, Auswirkungen: Cybererpressungen gefährden die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, um gegenüber dem Opfer Druck ausüben zu können. Die vier Arten digitaler Erpressung sind Zugriffsverweigerung, Modifikation, Enthüllung und Pseudo-Erpressung (Faux Extortion). Die Auswirkungen digitaler Erpressung reichen von der Betriebsunterbrechung bis zu finanziellen Einbußen, Reputationsverlust, Gerichtsverfahren und mehr. Neben direkten Angriffen auf die Opfer kompromittieren die Täter technische Zulieferer wie Managed Services Provider (MSPs), Cloud-Anbieter und Softwarehersteller.
• Kapitel 2, Evolution: Ransomware und digitale Erpressung gibt es schon länger, als den meisten Menschen bewusst ist, und tritt in unterschiedlichsten Formen auf. In diesem Kapitel betrachten wir die Geschichte der Ransomware und die Auswirkungen auf die betroffenen Organisationen. Danach verfolgen wir ihre Evolution hin zu der florierenden kriminellen Wirtschaft, die sie heute antreibt.
• Kapitel 3, Anatomie eines Angriffs: Die eigentliche Erpressung ist die letzte Phase eines digitalen Erpressungsversuchs. Die Angreifer verschaffen sich zuerst Zugang zur technischen Umgebung des Opfers und unternehmen dann Schritte, um den Zugang auszuweiten, das Opfer zu analysieren und sich auf die Erpressung vorzubereiten. In diesem Kapitel gehen wir die Phasen eines digitalen Erpressungsversuchs durch. Dabei identifizieren wir Anzeichen einer Kompromittierung und geben Tipps zur Reaktion, die einen laufenden Angriff abschwächen oder sogar beenden können.
• Kapitel 4, Die Krise beginnt: Die frühen Phasen der Response auf eine digitale Erpressung bestimmen ganz wesentlich, wie schnell sich eine Organisation erholt und den normalen Betrieb wieder aufnehmen kann. In diesem Kapitel zeigen wir, wie man die üblichen frühen Anzeichen für eine Cybererpressung erkennt. Wir behandeln auch das Konzept der Triage und erläutern, warum die Entwicklung einer klaren und effektiven Response-Strategie in der frühen Phase besonders wichtig ist.
• Kapitel 5, Eindämmung: Schlägt ein Cybererpresser zu, kann schnelles Handeln die Schäden reduzieren und die Wiederherstellung beschleunigen. In diesem Kapitel diskutieren wir Techniken, die das Ausschleusen von Daten verhindern, die Verschlüsselung/Löschung von Dateien unterbinden und den Angreifer aus der Umgebung des Opfers aussperren. Am Ende des Kapitels sprechen wir über Methoden, Beweise, Werkzeuge, Techniken, Personal und die Ergebnisse bei der Suche nach Bedrohungen.
• Kapitel 6, Untersuchung: Sich Zeit für eine Untersuchung zu nehmen, ist für die kurz- und langfristige Lösung von Cybererpressungen besonders wichtig. In diesem Kapitel erklären wir, wann eine Untersuchung beginnt, wie wir das Ausmaß eines Angriffs eingrenzen, wie wir »Patient Null« finden und wie wir Täter identifizieren. Wir diskutieren zudem die Beweissicherung, die die langfristigen Schäden von Cybererpresser-Angriffen reduzieren...