{"id":17566,"date":"2020-11-18T11:58:00","date_gmt":"2020-11-18T10:58:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=17566"},"modified":"2020-11-16T10:03:17","modified_gmt":"2020-11-16T09:03:17","slug":"moderne-ransomware-veroeffentlichung-statt-verschluesselung","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=17566","title":{"rendered":"Moderne Ransomware: Ver\u00f6ffentlichung statt Verschl\u00fcsselung"},"content":{"rendered":"\n<p>Cyberkriminelle scheinen gerade ihre Strategie zu \u00e4ndern. Das Verschl\u00fcsseln von Daten mit dem Ziel, die Inhaber dieser Daten zu erpressen und sie nur nach Zahlung eines \u201cL\u00f6segelds\u201d zu entschl\u00fcsseln und wieder zug\u00e4nglich zu machen, wird jetzt um eine neue Angriffsart erg\u00e4nzt. Dabei handelt es sich um Attacken, bei denen die Kriminellen damit drohen, Daten, die vertraulich sind, online zu publizieren, falls das L\u00f6segeld nicht bezahlt wird. Das sagen zumindest Experten von Kaspersky, die die Ransomware-Familien Ragnar Locker und Egregor unter die Lupe genommen haben.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"657\" src=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2020\/11\/Kaspersky-1024x657.png\" alt=\"\" class=\"wp-image-17567\" srcset=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2020\/11\/Kaspersky-1024x657.png 1024w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2020\/11\/Kaspersky-300x192.png 300w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2020\/11\/Kaspersky-768x493.png 768w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2020\/11\/Kaspersky.png 1239w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption>Screenshot: Sysbus<\/figcaption><\/figure>\n\n\n\n<!--more-->\n\n\n\n<p>Kompromittierungen mit L\u00f6segeldforderungen, so genannte Ransomware-Angriffe, geh\u00f6ren landl\u00e4ufig zu den ernstzunehmenderen Angriffsszenarien. Sie k\u00f6nnen nicht nur kritische Gesch\u00e4ftsabl\u00e4ufe st\u00f6ren, sondern auch zu massiven finanziellen Verlusten, in einigen F\u00e4llen sogar zum Bankrott der betroffenen Organisation durch Strafzahlungen und rechtliche Klagen f\u00fchren. So haben Angriffe wie beispielsweise die durch WannaCry sch\u00e4tzungsweise mehr als vier Milliarden Dollar an finanziellen Verlusten verursacht. Neuere Ransomware-Kampagnen \u00e4ndern jedoch ihren Modus Operandi: Sie drohen damit, gestohlene Firmeninformationen an die \u00d6ffentlichkeit zu bringen. Zwei bekannte Vertreter dieser neuen Art von Ransomware: Ragnar Locker und Egregor&nbsp;<\/p>\n\n\n\n<p><strong>Vorgehensweise von Ragnar Locker und Egregor<\/strong><\/p>\n\n\n\n<p>Ragnar Locker wurde im Jahr 2019 entdeckt, erreichte aber erst in der ersten H\u00e4lfte des Jahres 2020 Bekanntheit, als gro\u00dfe Unternehmen angegriffen wurden. Die Attacken sind sehr zielgerichtet, wobei jede sch\u00e4dliche Aktivit\u00e4t auf das beabsichtigte Opfer zugeschnitten ist. Dabei werden vertrauliche Informationen der Unternehmen, die sich weigern zu zahlen, auf der &#8222;Wall of Shame&#8220;-Seite der Cyberkriminellen ver\u00f6ffentlicht. Wenn das Opfer mit den Angreifern kommuniziert und sich dann weigert zu zahlen, wird dieser Chat ebenfalls ver\u00f6ffentlicht. Die Hauptziele sind Unternehmen in den USA aus verschiedenen Branchen. Im vergangenen Juli gab Ragnar Locker bekannt, dem Maze-Ransomware-Kartell beigetreten zu sein. Dies bedeutet, dass es seitdem zu einem Austausch gestohlener Informationen und einer konkreten Zusammenarbeit zwischen beiden gekommen ist. Maze hat sich 2020 zu einer der bekanntesten Ransomware-Familien entwickelt.&nbsp;<\/p>\n\n\n\n<p>Egregor wurde erstmals im vergangenen September entdeckt. Die Malware verwendet viele identische Taktiken und teilt zudem Code-\u00c4hnlichkeiten mit Maze. Sie wird in der Regel durch einen Einbruch in das Netzwerk implementiert; sobald die Daten des Zielunternehmens herausgefiltert wurden, bekommt das Opfer 72 Stunden Zeit, um das L\u00f6segeld zu zahlen, bevor die gestohlenen Informationen ver\u00f6ffentlicht werden. Wenn die betroffene Organisation die Zahlung verweigert, ver\u00f6ffentlichen die Angreifer den Namen und Links zum Download der vertraulichen Unternehmensdaten auf ihrer Leak-Seite.<\/p>\n\n\n\n<p>Der Angriffsradius von Egregor ist dabei wesentlich gr\u00f6\u00dfer als von Ragnar Locker. Die hinter dieser Ransomware stehenden Cyberkriminellen haben Opfer in ganz Nordamerika, Europa und Teilen der APAC-Region ins Visier genommen.<\/p>\n\n\n\n<p>&#8222;Wir erleben gerade einen Anstieg der Gef\u00e4hrlichkeit von Ransomware-2.0-Attacken, das hei\u00dft, Angriffe werden immer zielgerichteter und der Schwerpunkt liegt nicht mehr nur auf der Verschl\u00fcsselung vertraulicher Daten, sondern auf dem Konzept diese online zu ver\u00f6ffentlichen&#8220;, kommentiert Dmitry Bestuzhev, Leiter des Global Research and Analysis Team (GReAT) Lateinamerika bei Kaspersky. Dadurch wird nicht nur der Ruf eines Unternehmens gef\u00e4hrdet, sondern es besteht auch die Gefahr von Klagen, wenn die ver\u00f6ffentlichten Daten gegen Vorschriften wie den HIPAA (Health Insurance Portability and Accountability Act) oder die DSVGO versto\u00dfen. Es steht also mehr auf dem Spiel als nur ein finanzieller Verlust.&#8220;<\/p>\n\n\n\n<p>Weitere Informationen: <a href=\"https:\/\/securelist.com\/targeted-ransomware-encrypting-data\/99255\">https:\/\/securelist.com\/targeted-ransomware-encrypting-data\/99255<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Cyberkriminelle scheinen gerade ihre Strategie zu \u00e4ndern. Das Verschl\u00fcsseln von Daten mit dem Ziel, die Inhaber dieser Daten zu erpressen und sie nur nach Zahlung eines \u201cL\u00f6segelds\u201d zu entschl\u00fcsseln und wieder zug\u00e4nglich zu machen, wird jetzt um eine neue Angriffsart erg\u00e4nzt. Dabei handelt es sich um Attacken, bei denen die Kriminellen damit drohen, Daten, die vertraulich sind, online zu publizieren, falls das L\u00f6segeld nicht bezahlt wird. Das sagen zumindest Experten von Kaspersky, die die Ransomware-Familien Ragnar Locker und Egregor unter die Lupe genommen haben.<\/p>\n","protected":false},"author":1,"featured_media":17567,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[4,37],"tags":[14328,76,14327,5432,14326,6267],"class_list":["post-17566","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-news","category-security","tag-egregor","tag-kaspersky","tag-ragnar-locker","tag-ransomware","tag-veroeffentlichung","tag-verschlusselung"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/17566","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=17566"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/17566\/revisions"}],"predecessor-version":[{"id":17569,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/17566\/revisions\/17569"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/17567"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=17566"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=17566"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=17566"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}