Durchschnittliches Lösegeld steigt um 43 % nach Accellion-Angriffen

Cyber Security News

Laut Coveware sind die durchschnittlichen Lösegeldzahlungen für Ransomware-Gruppen im letzten Quartal um 43 % gestiegen, was auf die Bedrohungsakteure hinter den Accellion-Angriffen zurückzuführen ist.

Der vierteljährliche Bericht des Sicherheitsanbieters für das erste Quartal 2021 ergab, dass das durchschnittliche Lösegeld in diesem Zeitraum 220.298 US-Dollar betrug, wobei die Exfiltration von Daten nun eine wichtige Erpressungstaktik ist, die bei der überwiegenden Mehrheit (77 %) der Angriffe zum Einsatz kommt, was einem Anstieg von 10 % gegenüber dem vorherigen Quartal entspricht.

Doch während die meisten Ransomware-Gruppen einfach Daten stehlen, um ein zusätzliches Druckmittel zu haben, um zu beweisen, dass ein Angriff stattgefunden hat, und in einigen Fällen, um rechtliche Verpflichtungen für die Opferorganisationen zu schaffen, verfolgte die Clop-Gang bei ihrem Angriff auf Accellion einen anderen Ansatz, so Coveware.

Die Gruppe wurde mit Angriffen auf Kunden des Legacy-FTA-Produkts des Herstellers im Dezember 2020 und Januar 2021 in Verbindung gebracht, die zum Diebstahl wertvoller Daten führten. Diese Angriffe nutzten mehrere Zero-Day-Bugs im Produkt aus, die Accellion inzwischen gepatcht hat – in einigen Fällen wurden die Fixes jedoch zu spät angewendet oder veröffentlicht, um die Opfer zu schützen.

Im Gegensatz zu den meisten anderen Ransomware-Versuchen konzentrierte sich diese Kampagne ausschließlich auf den Datendiebstahl und verzichtete gänzlich auf Ransomware, so Coveware.

“Es handelte sich um eine hochentwickelte und gezielte Ausnutzung einer einzelnen Software-Appliance, die nur von einer Handvoll Unternehmen genutzt wird. Möglicherweise hat die CloP-Gruppe den in der Anfangsphase des Angriffs verwendeten Exploit gekauft, um ihn exklusiv nutzen zu können”, so Coveware.

“Dieses Verhalten steht in krassem Gegensatz zu der Art und Weise, wie die meisten nicht autorisierten Netzwerkzugänge durch die Lieferkette der Cyber-Erpressung an jeden willigen Käufer nach der Ausnutzung vermittelt werden.”

Obwohl die Gruppe hinter den Angriffen nie offiziell benannt wurde, erstellte FireEye im Februar eine Analyse, in der die Finanz-Cybercrime-Gang FIN11 genannt wurde, die ihrerseits zahlreiche Verbindungen zu Clop hat, einschließlich der Verwendung der gleichen Angriffsinfrastruktur und Datenleckstelle.

“Im Gegensatz zu den meisten Exploits, die von Ransomware-Bedrohungsakteuren verwendet werden, sind ungepatchte Accellion FTA-Instanzen selten (wahrscheinlich weniger als 100 insgesamt), insbesondere im Vergleich zu verwundbaren RDP-Instanzen, die weltweit Hunderttausende sind”, so Coveware.

“Die Zuversicht von Clop, dass eine so geringe Anzahl von Zielen einen positiven finanziellen Ertrag bringen würde, muss groß gewesen sein, und leider lag er damit richtig.”

Am Ende weigerte sich jedoch die Mehrheit der von Clop anvisierten Unternehmensopfer zu zahlen und ihre Daten wurden von der Gruppe online gestellt. Die Ransomware-Akteure sind seitdem offenbar zu traditionelleren Netzwerkzugangsvektoren (z. B. RDP) und Verschlüsselung zurückgekehrt, um ihr Geld zu verdienen.

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com