Von einem Ransomware-Angriff mit mehrfacher Verschlüsselung über Cyberkriminelle der Kategorie Erbsenzähler bis hin zu dreisten ‚Sicherheitsberichten‘ – Sophos X-Ops, das Incident-Response-Team des Cybersecurity-Spezialisten, blickt zurück auf skurrile Vorfälle der vergangenen Jahre – und darauf, welche Lehren sich daraus ziehen lassen.
Fall 1: Mehrfach verschlüsselt
Bei einem Angriff, den Sophos X-Ops in seinem Whitepaper ‚Multiple Attackers‘ untersucht hat, wurde ein Unternehmen von drei separaten und höchstwahrscheinlich auch unabhängig durchgeführten Ransomware-Angriffen getroffen, zwei davon innerhalb von zwei Stunden. Am Ende kamen die Ransomware Black Cat, LockBit und Hive darin vor, und das betroffene Unternehmen musste alle Angriffe nacheinander abarbeiten, um seine Daten wieder zu erlangen. Dies führte zu viel Aufwand und wie Sophos berichtet, floss zum Teil auch Geld.
Der Security-Spezialist betont zwar, dass dies ein extremes Beispiel ist, aber in einem Ransomware-Ökosystem das immer effektiver und organisierter wird, konkurrieren die Angreifer um Ziele und stoßen dabei manchmal auf dieselbe angreifbare Organisation. Verschärft wird dies durch bestimmte Merkmale des Cybercrime-Geschäfts, wie IABs (Initial Access Broker), die Zugänge weiterverkaufen (wie es hier möglicherweise der Fall war), und Ransomware-Leak-Seiten, die Daten bereitstellen, die andere Angreifer später als Waffen einsetzen können.
Fall 2: Betrüger betrügen Betrüger, die sie betrogen haben
Die Sophos-Analysten beschäftigen sich auch mit den nischigen Seiten des Cybercrime-Ökosystems, wie etwa Bedrohungsakteuren, die andere Bedrohungsakteure ins Visier nehmen. Als mögliche Gründe nennt der Cybersecurity-Spezialist verletzte Eitelkeiten, ‚Hahnenkampfgehabe‘ oder Streitigkeiten um Geld.
Laut Sophos vergessen Cyberkriminelle jegliche Vorsichtsmaßnahmen, wenn sie sich selbst auf den Schlips getreten fühlen. Dies kann für Ermittler zu einer reichhaltigen Informationsquelle werden. Denn wenn Cyberkriminelle übers Ohr gehauen werden, wenden sie sich in den Marktplätzen und Foren an die ‚Schlichtungsstellen‘. Die Sophos-Experten fanden so u.a. Kryptowährungsadressen, Benutzernamen, Transaktions-IDs, E-Mail-Adressen, IP-Adressen, Namen von Opfern, Quellcode und Screenshots von Desktops.
Fall 3: Cyberkriminelle als ‚legitime‘ Sicherheitsexperten
Die Sophos-Experten haben in früheren Untersuchungen festgestellt, dass sich einige Ransomware-Gruppen gerne als ‚Pentester‘ bezeichnen, um sich eine ungerechtfertigte Legitimität zu verleihen – einige bieten ihren Opfern sogar ‚Sicherheitsberichte‘ an, nachdem sie eine Zahlung erhalten haben. Laut Sophos sind diese Berichte voller Rechtschreib- und Grammatikfehler sowie Obszönitäten.
