Cybererpressung: Wie man sich schützt und was zu tun ist
Bleiben Sie aufmerksam, während wir Ihnen von einigen der bekanntesten Cybererpressungsversuche berichten und Möglichkeiten aufzeigen, wie Sie diese im Vorfeld abwenden können.
Ein Banküberfall ist ein risikoreiches Unterfangen für jeden Kriminellen. Es birgt körperliche Gefahren während der Ausführung und zieht bei Ergreifung harte Strafen nach sich.
Im Gegensatz dazu bleibt man bei der Inszenierung eines ausgeklügelten Ransomware-Angriffs weitgehend unbehelligt.
Zusammenfassend lässt sich festhalten, dass Cybererpressung im Vergleich zu traditionellen Diebstählen oder Raubüberfällen ein viel geringeres Risiko birgt und gleichzeitig profitabler ist. Zudem haben schwächere Strafen Cyberkriminelle zusätzlich begünstigt.
Angesichts der schwer nachverfolgbaren Kryptowährungen sollten wir jetzt damit beginnen, unsere Verteidigung zu verstärken.
Was genau ist Cybererpressung?
Cybererpressung ist ein Online-Angriff mit dem Ziel, hohe Lösegeldsummen zu erpressen. Dies geschieht meistens, indem Serverausfälle durch DDoS-Attacken angedroht werden oder Ihre Daten verschlüsselt und der Zugriff darauf verweigert wird.
Cybererpressung äußert sich in folgenden Formen:
Datengeiselnahme
Ein Angreifer verhindert Ihren Zugriff auf Ihr Computernetzwerk und fordert Lösegeld für die Wiederherstellung. Dies geschieht normalerweise, wenn Sie unwissentlich auf einen schädlichen Link klicken, der Schadsoftware herunterlädt, welche Dateien verschlüsselt und Sie aussperrt.
Alternativ dazu kann jemand Ihr System übernehmen, sensible Daten kopieren und Sie dazu zwingen, zu zahlen, da er mit der Veröffentlichung droht. Manchmal wird auch Social Engineering eingesetzt, um Sie durch psychologische Tricks glauben zu machen, dass ein Hack stattgefunden hat, auch wenn das nicht der Fall ist.
DDoS-Angriffe
Distributed-Denial-of-Service-Angriffe (DDoS) werden gelegentlich genutzt, um einen Datendiebstahl zu verschleiern. Dabei wird Ihr Netzwerk mit gefälschten Anfragen überlastet, sodass legitime Benutzer keinen Zugriff mehr erhalten.
Dies geschieht über ein Netzwerk infizierter Server (Botnets) oder durch Caching, was zu Verlangsamungen oder Ausfällen des Servers führen kann. Die Verluste können je nach Größe Ihres Online-Geschäfts erheblich sein.
Ein DDoS-Angriff kann bereits für 4 US-Dollar pro Stunde in Auftrag gegeben werden und dem Opfer Verluste in Hunderttausenden verursachen. Neben dem direkten Verlust drängt die Ausfallzeit Ihre Kunden zur Konkurrenz und verursacht somit zusätzlichen Schaden.
Größere Cybererpressungsangriffe
Lassen Sie uns einen Blick auf einige der bedeutendsten Vorfälle werfen, die in der Vergangenheit aufgezeichnet wurden.
#1. WannaCry
WannaCry war ein globaler Ransomware-Angriff, der am 12. Mai 2017 begann und Computer mit Microsoft Windows infizierte. Das genaue Ausmaß ist immer noch unklar, da es in einigen Formen immer noch vorhanden ist.
Allein am ersten Tag infizierte WannaCry 230.000 Computer in über 150 Ländern und betraf große Unternehmen sowie Regierungen weltweit. Es konnte sich ohne menschliches Zutun innerhalb von Netzwerken kopieren, installieren, ausführen und verbreiten.
Bei WannaCry nutzten Hacker eine Windows-Sicherheitslücke mit dem Exploit „EternalBlue“ aus. Ironischerweise wurde „EternalBlue“ von der US-amerikanischen NSA entwickelt, um eine Schwachstelle in Windows auszunutzen. Der Exploit-Code wurde gestohlen und von einer Hackergruppe namens „The Shadow Brokers“ veröffentlicht.
Microsoft, das das Problem kannte, veröffentlichte ein Update, um es zu beheben. Jedoch wurden die meisten Benutzer, die veraltete Systeme einsetzten, zur Hauptzielscheibe.
Der Retter in dieser Situation war Marcus Hutchins, der die Malware unbeabsichtigt stoppte, indem er eine im Exploit-Code erwähnte Domain registrierte. Dies funktionierte wie ein Notaus, der WannaCry eindämmte. Es gibt jedoch noch mehr Hintergründe, darunter der Kill-Switch, der einem DDoS-Angriff ausgesetzt war, und Hutchins, der den Kill-Switch an Cloudflare weiterleitete. Mehr dazu finden Sie bei TechCrunch.
Die geschätzten weltweiten Verluste belaufen sich auf rund 4 Milliarden US-Dollar.
#2. CNA Financial
Am 21. März 2021 erfuhr CNA Financial mit Sitz in Chicago, dass jemand vertrauliche persönliche Daten von ihren Mitarbeitern, Vertragspartnern und deren Angehörigen kopiert hatte. Dies kam über zwei Wochen nach dem eigentlichen Hack am 5. März 2021 ans Licht.
Es handelte sich um einen hybriden Angriff, der sowohl Datendiebstahl als auch die Geiselnahme des CNA-Systems umfasste. Die Hacker, eine russische Gruppe namens „Evil Corp“, nutzten Schadsoftware zur Verschlüsselung der CNA-Server. Nach Verhandlungen über das anfängliche Lösegeld von 60 Millionen US-Dollar einigten sich die Hacker schließlich auf 40 Millionen US-Dollar, wie bei Bloomberg berichtet wurde.
#3. Colonial Pipeline
Der Hack der Colonial Pipeline verursachte Unterbrechungen in der Kraftstoffversorgung einer der größten Pipelines in den USA. Die Untersuchung ergab, dass dies die Folge eines einzigen Passwortlecks im Dark Web war.
Es ist jedoch unklar, wie die Angreifer an den korrekten Benutzernamen gelangten, der zum kompromittierten Passwort passte. Die Hacker drangen über ein Virtual Private Network, das für Remote-Mitarbeiter gedacht war, in die Colonial-Systeme ein. Da es keine Multi-Faktor-Authentifizierung gab, genügten ein Benutzername und ein Passwort.
Nach einer Woche dieser Aktivität erhielt ein Mitarbeiter am 7. Mai 2021 eine Lösegeldforderung, in der Kryptowährungen im Wert von 4,4 Millionen US-Dollar gefordert wurden. Innerhalb weniger Stunden schalteten die Behörden die gesamte Pipeline ab und beauftragten Cybersicherheitsfirmen mit der Überprüfung und Schadensbegrenzung. Sie stellten auch einen Datendiebstahl von 100 GB fest und der Hacker drohte mit der Veröffentlichung, sollte das Lösegeld nicht gezahlt werden.
Die Ransomware legte den Abrechnungs- und Buchhaltungsbereich der kolonialen IT-Systeme lahm. Die Lösegeldsumme wurde kurz nach dem Angriff an DarkSide, eine Hackergruppe in Osteuropa, gezahlt. DarkSide stellte ein Entschlüsselungstool zur Verfügung, das sich als so langsam erwies, dass es eine Woche dauerte, die Pipeline-Operationen wieder zu normalisieren.
Am 7. Juni 2021 veröffentlichte das US-Justizministerium eine Erklärung, in der es die Wiedererlangung von 63,7 Bitcoins aus der ursprünglichen Zahlung bekannt gab. Das FBI gelangte auf irgendeine Weise an die privaten Schlüssel der Hackerkonten und holte 2,3 Millionen Dollar zurück, anscheinend weniger als das, was aufgrund des plötzlichen Einbruchs der Bitcoin-Preise in dieser Zeit gezahlt wurde.
#4. Dyn
Dyn ist in erster Linie ein DNS-Dienstleister für viele große Namen, darunter Twitter, Netflix, Amazon, Airbnb, Quora, CNN, Reddit, Slack, Spotify, PayPal usw. und wurde am 21. Oktober 2016 durch einen großen DDoS-Angriff lahmgelegt.
Der Angreifer nutzte das Mirai-Botnet, das eine große Anzahl kompromittierter IoT-Geräte einsetzte, um falsche DNS-Anfragen zu senden. Dieser Datenverkehr überlastete die DNS-Server und verursachte erhebliche Verlangsamungen, was weltweit zu nicht quantifizierbaren Verlusten führte.
Während es das Ausmaß des Angriffs schwierig macht, den genauen Schaden zu berechnen, den die betroffenen Websites erlitten haben, verlor Dyn erheblich.
Etwa 14.500 Domains (ca. 8 %) wechselten direkt nach dem Angriff zu einem anderen DNS-Anbieter.
Es gab noch viele weitere ähnliche Angriffe wie bei Amazon Web-Services und GitHub. Lassen Sie uns jedoch davon absehen, tiefer in die Details einzutauchen, und stattdessen eine solide Strategie entwickeln, um solche Cybererpressungsfälle zu verhindern.
Wie man Cybererpressung verhindern kann
Hier sind einige sehr grundlegende vorbeugende Maßnahmen, die Ihnen helfen können, sich vor solchen Internetangriffen zu schützen:
#1. Vermeiden Sie das Klicken auf schädliche Links
Angreifer nutzen oft die menschliche Eigenschaft der Neugier aus.
Phishing-E-Mails waren das Einfallstor für rund 54 % der Ransomware-Angriffe. Schulen Sie daher nicht nur sich und Ihre Mitarbeiter im Umgang mit Spam-E-Mails, sondern organisieren Sie auch Schulungen.
Dazu können Dummy-Phishing-E-Mails in wöchentlichen Kampagnen gehören, um Live-Schulungen anzubieten. Es funktioniert im Grunde wie eine Impfung, bei der eine kleine Menge inaktiver Viren vor echten Bedrohungen schützt.
Darüber hinaus können Sie Mitarbeiter in der Verwendung von Sandboxing-ähnlichen Technologien schulen, um verdächtige Links und Anwendungen zu öffnen.
#2. Software-Updates und Sicherheitslösungen
Unabhängig von Ihrem Betriebssystem ist veraltete Software anfällig für Cybererpressungsangriffe. Das WannaCry-Debakel hätte vermieden werden können, wenn die Benutzer ihre Windows-PCs rechtzeitig aktualisiert hätten.
Ein weiteres weit verbreitetes Missverständnis ist, dass man sicher ist, wenn man einen Mac verwendet. Das ist absolut nicht richtig. Und der Malwarebytes-Bericht zum Status der Malware räumt jegliches falsche Gefühl von Sicherheit für Mac-Nutzer aus.
Das Windows-Betriebssystem war aufgrund seiner Popularität oft Ziel großer Angriffe. Microsofts Betriebssystem hat immer noch einen Marktanteil von fast 74 % und es lohnt sich nicht nur für Mac-Nutzer ein Ziel zu sein.
Dies ändert sich jedoch langsam. Malwarebytes verzeichnete von 2018 bis 2019 einen Anstieg der Bedrohungen, die auf Mac OS abzielten, um 400 %. Außerdem stellten sie 11 Bedrohungen pro Mac im Vergleich zu 5,8 Bedrohungen für ein Windows-Gerät fest.
Zusammenfassend lässt sich sagen, dass sich die Investition in eine umfassende Internetsicherheitslösung wie Avast One definitiv als wertvoll erweisen kann.
Darüber hinaus können Sie Intrusion-Detection-Systeme wie Snort oder Suricata für ein besseres Sicherheitsnetzwerk einsetzen.
#3. Verwenden Sie sichere Passwörter
Der Angriff auf die Colonial Pipeline wurde durch die Verwendung eines schwachen Passworts durch einen Mitarbeiter verursacht.
Laut einer Avast-Umfrage verwenden etwa 83 % der Amerikaner schwache Passwörter, und ganze 53 % nutzen dieselben Passwörter für mehrere Konten.
Es hat sich als schwierig erwiesen, Benutzer dazu zu bewegen, starke Passwörter für ihre eigenen Konten zu verwenden. Sie auf der Arbeit dazu zu bringen, scheint fast unmöglich.
Was ist also die Lösung? Plattformen zur Benutzerauthentifizierung.
Sie können diese Plattformen nutzen, um Anforderungen an sichere Kennwörter in Ihrem Unternehmen durchzusetzen. Hierbei handelt es sich um Drittanbieter-Spezialisten mit flexiblen Plänen entsprechend der Unternehmensgröße. Sie können auch mit kostenlosen Tarifen von Unternehmen wie Ory, Supabase oder Frontegg starten.
Verwenden Sie auf persönlicher Ebene Passwortmanager.
Nehmen Sie sich außerdem die Zeit, Passwörter von Zeit zu Zeit zu ändern. Dies erhöht Ihre Sicherheit, auch wenn Ihre Anmeldeinformationen gestohlen werden. Mit Premium-Passwortmanagern wie LastPass, die Ihre Passwörter mit nur einem Klick automatisch aktualisieren, ist dies viel einfacher.
Aber hören Sie nicht einfach mit einem komplizierten Passwort auf; versuchen Sie auch bei dem Benutzernamen kreativ zu sein.
#4. Offline-Backups
Die Raffinesse solcher Angriffe kann manchmal sogar Experten in der Cybersicherheit täuschen, geschweige denn einen Kleinunternehmer.
Bewahren Sie daher stets aktuelle Backups auf. Diese helfen Ihnen, Ihr System an einem kritischen Tag wieder in Betrieb zu nehmen.
Offline-Backups stellen dabei einen zusätzlichen Vorteil dar. Sie sind Ihr sicherer Speicherort, der für Cybererpresser unerreichbar ist.
Berücksichtigen Sie auch die verfügbaren Wiederherstellungsfunktionen, da lange Ausfallzeiten das geforderte Lösegeld manchmal attraktiv machen können. Genau aus diesem Grund verhandeln einige Unternehmer mit den Bedrohungsakteuren und zahlen letztendlich riesige Summen.
Alternativ dazu können sich Backup- und Datenwiederherstellungslösungen von Drittanbietern wie Acronis als nützlich erweisen. Diese bieten Schutz vor Ransomware und unkomplizierte Datenwiederherstellungsmechanismen.
#5. Content Delivery Network (CDN)
Viele haben dank kompetenter Content Delivery Networks große DDoS-Angriffe erkannt und abgewehrt.
Wie bereits erwähnt, war es schließlich ein exzellentes CDN, Cloudflare, das den WannaCry-Kill-Switch zwei Jahre lang ununterbrochen online hielt. Es half auch, zahlreichen DDoS-Angriffen in diesem Zeitraum standzuhalten.
Ein CDN verwaltet eine zwischengespeicherte Kopie Ihrer Website auf mehreren Servern rund um den Globus. Es verlagert übermäßige Lasten in sein Netzwerk und verhindert Serverüberlastungen und Ausfallzeiten.
Diese Strategie schützt nicht nur vor DDoS-Bedrohungen, sondern führt auch zu blitzschnellen Websites für Kunden weltweit.
Letztendlich kann es keine vollständige Liste geben, die Sie vor Cybererpressung schützt. Die Dinge entwickeln sich ständig weiter, und es ist ratsam, jederzeit einen Cybersicherheitsexperten an Bord zu haben.
Aber was ist, wenn es doch passiert? Was sollten Sie tun, wenn Sie von einem Online-Erpressungsversuch betroffen sind?
Reaktion auf Cybererpressung
Nach einem Ransomware-Angriff ist es neben der normalen Angst, die man empfindet, das Erste, was einem in den Sinn kommt, zu bezahlen und das Ganze zu erledigen.
Dies kann jedoch nicht immer funktionieren.
Eine Studie von SOPHOS, einem IT-Sicherheitsunternehmen mit Sitz in Großbritannien, zeigt, dass die Zahlung des Lösegelds nicht immer der beste Ausweg ist. Der Bericht über Angriffsuntersuchungen ergab, dass nur 8 % der Unternehmen nach Zahlung des Lösegelds ihre vollständigen Daten zurückerhielten. Und 29 % konnten nur 50 % oder weniger der gestohlenen/verschlüsselten Daten wiederherstellen.
Ihre Bereitschaft, Lösegeldforderungen nachzukommen, kann also nach hinten losgehen. Es macht Sie abhängig von dem Angreifer und seinen Werkzeugen, um Ihre Daten zu entschlüsseln, was andere Rettungsmaßnahmen verzögert.
Darüber hinaus gibt es keine Garantie dafür, dass das vom Hacker bereitgestellte Tool überhaupt funktioniert. Es kann fehlschlagen oder Ihr System weiter infizieren. Außerdem stuft die Zahlung der Kriminellen Ihr Unternehmen als zahlungsbereiten Kunden ein, was die Wahrscheinlichkeit ähnlicher Angriffe in Zukunft erhöht.
Zusammenfassend lässt sich sagen, dass die Zahlung die allerletzte Option sein sollte. Die Verwendung anderer Methoden, wie zum Beispiel das Wiederherstellen von Backups, ist sicherer, als einen unbekannten Kriminellen mit Kryptowährungen zu bezahlen.
Darüber hinaus haben einige Unternehmen führende Cybersicherheitsexperten kontaktiert und die Strafverfolgungsbehörden informiert. Wie im Fall der Erpressung der Colonial Pipeline durch das FBI hat dies einige Unternehmen gerettet.
Cybererpressung: Fazit
Es ist wichtig zu erkennen, dass dies keine Seltenheit ist. Der beste Weg, sich zu schützen, ist es, Ihre Schutzmaßnahmen zu stärken und Backups zu erstellen.
Sollte es dennoch passieren, bleiben Sie ruhig, starten Sie lokale Rettungsaktionen und kontaktieren Sie Experten.
Versuchen Sie jedoch, den Lösegeldforderungen nicht nachzugeben, da dies möglicherweise nicht funktioniert, selbst wenn Sie ein Vermögen zahlen.
PS: Die Überprüfung unserer Checkliste zur Cybersicherheit für Ihr Unternehmen kann sich als nützlich erweisen.