Der Cybersecurity-Spezialist Check Point hat versucht zu eruieren, wie viel Ransomware die angegriffenen Firmen tatsächlich kostet. Die Antwort: Das geforderte Lösegeld ist dabei nur ein Bruchteil.
Wie verheerend sind Ransomware-Attacken für die angegriffenen Unternehmen und Organisationen wirklich? Dieser Frage sind Sicherheitsforscher von Check Point Research (CPR) des israelischen Cybersecurity-Anbieters Check Point Software Technologies nachgegangen. Sie haben dabei die vor Kurzem geleakten Daten der Hacker-Gruppe, die hinter der Ransomware «Conti» steht, sowie die Datenbank für Cybervorfälle von Kovrr, die aktuelle Informationen zu Attacken und deren finanzielle Auswirkungen enthält, genauer unter die Lupe genommen. Dadurch haben sie auch herausgefunden, wie die Cyberkriminellen vorgehen, um an das geforderte Lösegeld zu kommen.
Grundsätzlich hat sich gezeigt, dass ein womöglich gezahltes Lösegeld nur ein Bruchteil der eigentlichen Kosten eines Ransomware-Angriffs darstellt. Die Gesamtkosten liegen gemäss CPR vielmehr siebenmal höher als die eigentliche Forderung. Und auch Letztere ist in der Regel nicht aus der Luft gegriffen, sondern richtet sich sehr genau nach den finanziellen Möglichkeiten des Opfers. So verlangen die Cyberkriminellen in der Regel eine Summe, die sich am Jahresumsatz der angegriffenen Firma orientiert und zwischen 0,7 und 5 Prozent liegt.
Die Vorgehensweise und Taktik der Hacker besser zu verstehen, wird für deren Bekämpfung immer wichtiger. Denn die Anzahl Attacken steigt unaufhörlich. So beobachtete CPR für das erste Quartal 2022 einen globalen Anstieg der Ransomware-Angriffe im Vergleich zum Vorjahr um 24 Prozent. Konkret liegt der wöchentliche globale Durchschnitt der betroffenen Unternehmen bei 1 von 53. Auch die Schweiz verzeichnet einen Anstieg, und zwar von 28 Prozent. Dabei war im Wochendurchschnitt 1 von 153 Unternehmen betroffen (2021: 1 von 197). Weiter ist die Dauer eines Ransomware-Angriffs deutlich zurückgegangen, von 15 auf 9 Tage.
Regelrechte Verhandlungsprofis engagiert
CPR stellt auch fest, dass Ransomware-Gruppen klare Spielregeln für erfolgreiche Verhandlungen mit den Opfern haben, die den Verhandlungsprozess und die Dynamik beeinflussen. Dabei haben die Sicherheitsforscher folgende Taktiken beobachtet, die leider zu häufig zu einem Verhandlungserfolg für die Cyberkriminellen führt:
- Ermittlung der Zahlungsfähigkeit des Opfers: Die Conti-Hackergruppe verwendet Datensätze von ZoomInfo und DNB, um den Jahresumsatz des Opfers zu ermitteln. Manchmal sind diese Angaben nur Schätzungen und stimmen nicht mit den tatsächlichen Einnahmen des Opfers überein, was wiederum zu einer problematischen Verhandlung führt. Contis Team sucht in den vom angegriffenen Unternehmen gestohlenen Informationen auch nach Hinweisen auf Bankdaten, um die Bargeldreserven des Opfers besser zu verstehen.
- Analyse der Qualität der exfiltrierten Daten des Opfers: Die Conti-Hacker exfiltrieren sowohl Daten als auch verschlüsselt die Zielsysteme. Manchmal betrifft die Verschlüsselung nur Teilbereiche, sodass kritische Systeme nicht betroffen sind. In anderen Fällen handelt es sich bei den exfiltrierten Daten um unkritische Daten. In solchen Fällen wären die Betreiber von Conti bei den Verhandlungen flexibler.
- Wahrung des Rufs von Conti: Die Reputation ist einer der wichtigsten Aspekte einer Ransomware-Gruppe. Wenn Opfer bekannt machen, dass die Conti-Hacker die verschlüsselten Daten nicht zur Verfügung stellen oder vertrauliche Informationen gar veröffentlichen sowie weiterverkaufen, könnte dies künftige Opfer von der Zahlung abhalten. Die Conti-Ransomware-Gang scheint diesbezüglich ihren Ruf sehr ernst zu nehmen und hat einem Vermittler, der behauptete, zwei seiner Kunden hätten keine ordnungsgemässe Entschlüsselung erhalten, umgehend geholfen.
- Abklärung, ob eine Cyberversicherung vorhanden ist: Die Conti-Erpresser untersuchen offenbar die gestohlenen Daten auch auf Dokumente hin, die darauf hinweisen, dass das Opfer eine Cyberversicherung abgeschlossen hat. Die Hacker bevorzugen dabei Ziele, die über eine Cyberversicherung verfügen, da sie eine höhere Chance auf einen erfolgreichen Zahlungseingang bieten. In der Tat werden einige von Contis Zielen gegenüber anderen bevorzugt, weil sie über eine Cyberversicherung verfügen.
- Die Opfer engagieren oft Verhandlungsführer: In vielen Ransomware-Fällen beauftragt das Opfer ein externes Lösegeldverhandlungsteam, das die Gespräche mit den Betreibern von Conti führt. In einigen Fällen kann dies den Prozess sogar rationalisieren. In der Tat hat CPR beobachtet, dass das Conti-Hackingteam manchmal mit denselben Unterhändlern über verschiedene Lösegeldfälle spricht. In anderen Fällen können dagegen solche Verhandlungsführer die Cyberkriminellen verärgern und die Verhandlungen zu einem raschen Ende bringen.
Nichts wird dem Zufall überlassen
Mit der Analyse der geleakten Informationen sollen die CPR-Forscher offenbar einen detaillierten Einblick in die Sichtweise von Angreifern und Opfern eines Ransomware-Angriffs erhalten haben, wie Sergey Shykevich, Threat Intelligence Group Manager bei Check Point Software, meint. Die wichtigste Erkenntnis sei dabei, dass das gezahlte Lösegeld im Ransomware-Ökosystem eine untergeordnete Rolle spiele. «Sowohl die Cyberkriminellen als auch die Opfer haben viele andere finanzielle Aspekte und Überlegungen im Zusammenhang mit dem Angriff zu berücksichtigen», betont Shykevich.
Auch die Professionalität, die eine Hackergruppe wie die untersuchte auszeichnet, hat den Fachmann erstaunt. «Es ist bemerkenswert, wie systematisch die Cyberkriminellen bei der Festlegung der Lösegeldhöhe und bei den Verhandlungen vorgehen», meint Shykevich. «Nichts ist zufällig und alles nach den beschriebenen Faktoren definiert und geplant», doppelt er nach.