Ransomware-Bande bietet Händlern Insiderwissen über Angriffsopfer, damit sie deren Aktien leerverkaufen können

Cyber Security News

NASDAQ-Displays am Times Square liefern Börseninformationen für Händler. (bfishadow auf Flickr, CC BY 2.0 https://creativecommons.org/licenses/by/2.0, via Wikimedia Commons)

Dreiste Ransomware-Gruppen suchen weiterhin nach neuen Wegen, um Gewinne zu erzielen und den Druck auf die Opfer zu erhöhen. Eine der neuesten Entwicklungen ist, dass die DarkSide-Ransomware-Gruppe offen Aktienhändler dazu überredet, sich zu melden und Insiderinformationen über die neuesten Unternehmensopfer der Gruppe zu erhalten, damit sie deren Aktien leerverkaufen können, bevor Daten durchsickern und die Nachricht veröffentlicht wird.

In einem Eintrag auf der DarkSide Leaks-Website vom 20. April heißt es: “Jetzt verschlüsseln unser Team und unsere Partner viele Unternehmen, die an der NASDAQ und anderen Börsen gehandelt werden. Wenn das Unternehmen sich weigert zu zahlen, sind wir bereit, Informationen vor der Veröffentlichung zu liefern, so dass es möglich wäre, in der Reduktion Preis der Aktien zu verdienen. Schreiben Sie uns unter ‘Kontakt’ und wir werden Sie mit detaillierten Informationen versorgen.”

Die Bedrohungsakteure könnten potenziell auf zwei Arten profitieren. Wenn skrupellose Händler das Angebot von DarkSide annehmen würden, könnte die Ransomware-Bande ihnen möglicherweise eine stattliche Summe für diese Insiderinformationen in Rechnung stellen. Und wenn sich genügend Händler an Leerverkäufen beteiligen, könnte der Aktienkurs des Unternehmens durch Manipulationen künstlich sinken – eine Folge, die Opfer, die erpresste Organisationen versuchen könnten, zu vermeiden, indem sie einfach das Lösegeld zahlen.

Brett Callow, Bedrohungsanalyst bei Emsisoft, sagte gegenüber SC Media, er vermute, dass das zweite Szenario wahrscheinlicher ist, was die Angreifer im Sinn hatten, als sie das Angebot online stellten. In jedem Fall ist ihm keine andere Ransomware-Gruppe bekannt, die diese scheinbar neue Taktik verwendet.

“In den letzten Monaten haben Ransomware-Gruppen nach neuen Wegen gesucht, um ihre Ziele unter Druck zu setzen, damit sie zahlen, von der Veröffentlichung von Angriffen über Facebook-Anzeigen bis hin zur Kontaktaufnahme mit Kunden und der Aufforderung, das angegriffene Unternehmen zu kontaktieren und darauf zu bestehen, dass es Maßnahmen zum Schutz ihrer Daten ergreift – mit anderen Worten, dass sie das Lösegeld zahlen”, sagte Callow. “Angesichts dessen ist es überhaupt nicht überraschend, dass eine Gruppe mit dieser Strategie experimentiert. Ich vermute, dass es ihnen nicht darum geht, Geld von skrupellosen Händlern zu erhalten, sondern vielmehr darum, zukünftigen Opfern Angst einzujagen, damit sie sich schnell einigen, um zu vermeiden, dass ihre Aktien geshortet werden. Ich bezweifle, dass die Strategie erfolgreich sein wird oder von anderen Gruppen nachgeahmt wird, aber die Zeit wird es zeigen.”

Aber wie viel Einfluss könnte eine solche Insiderhandelsaktivität tatsächlich auf die Lebensfähigkeit der Aktien eines Unternehmens in den Augen der Investorengemeinschaft haben?

“Aus Kreditsicht sind Aktienbewegungen in der Regel vorübergehend, und jede Vorankündigung, die Händler von Hackern erhalten könnten, wird am Ende verwischt, wenn der Rest des Marktes es herausfindet”, sagten Leroy Terrelonge, Assistant Vice President und Cyber Risk Analyst bei Moody’s Investors Service, und Moody’s Senior Vice President und Tech Analyst Gerry Granovksy, in einer gemeinsamen Erklärung.

Außerdem haben Investoren gute Gründe, Cyberkriminellen nicht von vornherein zu vertrauen.

“Moody’s Cyber Risk Group hat mit mehreren Organisationen gesprochen, die in den letzten Jahren Opfer von Ransomware-Banden geworden sind, und es gibt oft eine große Diskrepanz zwischen den Behauptungen der Ransomware-Banden und der Realität. Die Kunden dieser Cyberkriminellen werden wahrscheinlich enttäuscht sein, dass sie nicht ganz den Return on Investment erhalten, den sie sich vorstellen”, so die Moody’s-Experten.

Wenn überhaupt, würden die schwerwiegenderen Auswirkungen auf die Finanzen und das Kreditrating von der Sicherheitsverletzung selbst ausgehen und von deren Größe und Umfang abhängen, so Moody’s. “Wir haben wilde Ausschläge an den Aktienmärkten aufgrund von Desinformationskampagnen gesehen, aber diese sind typischerweise kurzlebig und die Wertpapierpreise kehren auf das Niveau vor der Desinformation zurück, sobald die korrekten Informationen durch den Markt dringen”, so Terrelonge und Granovksy. “Wenn jedoch fundamentale Treiber der Kreditwürdigkeit durch den Cybervorfall beeinträchtigt werden, könnte dies zu einem niedrigeren Kreditrating führen.”

Die DarkSide-Gruppe war schon früher dafür bekannt, dass sie ein skurriles Verhalten an den Tag legt. Im Oktober 2020 wurde berichtet, dass die cyberkriminelle Bande einen Prozentsatz der Gelder, die sie von den Opferfirmen erpresst hatte, an wohltätige Organisationen gespendet hatte.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com