#BHEU: 5 Wege, um Ransomware-Verhandlungen anzugehen

  • Pepijn Hack, Cybersecurity-Analyst von Fox-TT, einem Unternehmen der NCC Group, erläuterte in einer Session auf der Black Hat Europe 2021 fünf wichtige Ansätze, die Unternehmen bei Ransomware-Verhandlungen mit Erpressern verfolgen sollten, um das Ergebnis zu verbessern.

    Hack stellte fest, dass die Angreifer nach einem erfolgreichen Ransomware-Angriff und einer Zahlungsaufforderung sofort die Oberhand bei den folgenden Verhandlungen haben. Dies liegt zum einen daran, dass sie ihr Opfer bereits vor dem Angriff durch Nachforschungen kennen und so wissen, ob es wahrscheinlich zahlen wird und wie viel es sich leisten kann. Zweitens haben sie in der Vergangenheit bereits zahlreiche Ransomware-Verhandlungen erlebt, während das Opfer wahrscheinlich zum ersten Mal in dieser Situation ist.

    Auf der Grundlage von Untersuchungen, die er zusammen mit einem Kollegen von Fox-TT durchgeführt hat, erläuterte Hack, was die Angreifer bei einer Lösegeldverhandlung berücksichtigen. Dazu gehören der endgültige Preis des Lösegelds, die Frage, ob das Opfer zahlen wird oder nicht, die Kosten und das Risiko für sie selbst und die Anzahl der erfolgreichen Angriffe.

    Anhand von Daten, die zwischen Ende 2019 und Anfang 2021 gesammelt wurden, wurden dann zwei Ransomware-Gruppen verglichen. Für die erste Gruppe wurden Aufzeichnungen von 681 Verhandlungen beobachtet. Für die zweite Gruppe gab es 105 Verhandlungen. In beiden Gruppen zahlte eine ähnliche Anzahl (etwa 15 %) der Opfer das Lösegeld. Allerdings war der durchschnittlich gezahlte Lösegeldbetrag in der ersten Gruppe viel niedriger als in der zweiten, wobei letztere sich auf größere Unternehmen konzentrierte und höhere Forderungen stellte. Dies deutet darauf hin, dass es für Angreifer erfolgreicher ist, sich auf weniger, aber höherwertige Ziele zu konzentrieren.

    Ein weiteres interessantes Ergebnis dieser Analyse war, dass “zwei Unternehmen mit demselben Umsatz, unabhängig von der ursprünglichen Lösegeldforderung, ziemlich ähnlich bezahlt wurden.” Dies ist insofern interessant, als es zeigt, dass die Angreifer “eine Optimierungsstrategie verfolgen”, bei der sie berechnen, “wie viel das Opfer am Ende zu zahlen bereit ist”, so Hack.

    “Die Gegner sind im Vorteil, aber sie sind auch nur Menschen, und das können wir ausnutzen “Pepijn Hack

    Obwohl sich Unternehmen in dieser Situation in einer schwierigen Lage befinden, gibt es laut Hack mehrere Maßnahmen, die sie ergreifen können, um ihre Situation zu verbessern, sei es, um zu zahlen oder um Zeit zu gewinnen. Man sollte nicht vergessen, dass “die Gegner im Vorteil sind, aber sie sind auch nur Menschen, und das können wir ausnutzen”. Anhand von Erkenntnissen, die er bei der Untersuchung zahlreicher Ransomware-Verhandlungen gewonnen hat, stellte Hack fünf Strategien vor, die Unternehmen bei Verhandlungen anwenden sollten. Seien Sie respektvoll – Hack räumte zwar ein, dass dies angesichts der Tatsache, dass Ihr Unternehmen gehackt wurde, seltsam klingen mag, doch er betonte, dass ein höflicher und respektvoller Umgang mit den Angreifern viel wahrscheinlicher zu besseren Ergebnissen führen wird. “Eine Sache, die wir beobachtet haben, war, dass wenn Opfer wütend oder frustriert über den Gegner wurden, Chats geschlossen wurden – viel Glück, wenn Sie dann Ihre Dateien zurückbekommen”, erklärte er. “Betrachten Sie das Ganze wie eine geschäftliche Transaktion”, fügte Hack hinzu. Bitten Sie um mehr Zeit – Hack warnte davor, dass Angreifer versuchen werden, Sie zu schnellen Entscheidungen zu drängen, was für die Opfer eher zu einem schlechten Ergebnis führen wird. In fast allen Fällen waren sie jedoch bereit, die Frist zu verlängern, wenn Sie noch verhandeln wollten. Dies kann den Opfern mehr Gelegenheit geben, ihre Optionen abzuwägen, z. B. wenn sie abwarten, ob sie Backups der gestohlenen Daten erhalten können. Versprechen, einen kleinen Betrag jetzt oder einen größeren Betrag später zu zahlen – Hack betonte erneut, dass Cyberangreifer Menschen sind und wie alle Menschen “nicht so gut darin sind, die Belohnung aufzuschieben.” Außerdem wollen die Angreifer die Verhandlungen wahrscheinlich so schnell wie möglich abschließen. Daher sollten die Opfer versuchen, sich diese Mentalität bei den Verhandlungen zunutze zu machen. Wenn sie zum Beispiel beschlossen haben, dass sie keine andere Wahl haben, als zu zahlen, kann das Opfer deutlich machen, dass es jetzt einen viel niedrigeren Preis zahlen kann und eine höhere Zahlung aufgeschoben werden kann. Überzeugen Sie den Gegner, dass Sie die Lösegeldsumme nicht erreichen können – Hack gab ein Beispiel für eine Verhandlung, die er im Rahmen seiner Forschung analysierte, bei der das Opfer angab, dass es maximal 500.000 $ (von einer Forderung von 13 Mio. $) zahlen könne. Letztendlich wurde nur dieser Betrag gezahlt, was eine weitaus geringere Summe darstellt. Dieser Ansatz kann sogar bei größeren Unternehmen funktionieren. Hack hat aufgedeckt, dass ein Fortune-500-Unternehmen einen Entschlüsselungsschlüssel erhalten hat, obwohl es eine weitaus geringere Summe als ursprünglich gefordert gezahlt hatte. Sagen Sie niemandem, dass Sie eine Cyber-Versicherung haben – “Wenn die Gegner herausfinden, dass Sie eine Cyber-Versicherung haben, wird Ihre Verhandlung sehr viel schwieriger”, sagte Hack. Er zeigte Mitteilungen von Angreifern, in denen sie erklärten, sie wüssten, dass das Opfer einen hohen Betrag zahlen könne, weil es eine Cyber-Versicherung habe. Da diese Information oft aus gestohlenen Dateien gewonnen werden kann, riet Hack: “Halten Sie die Tatsache, dass Sie eine Cyber-Versicherung haben, geheim, halten Sie die Dateien von Ihrem Netzwerk fern. Vielleicht sollten Sie sogar eine Vereinbarung mit Ihrer Versicherungsgesellschaft treffen, dass diese die Daten ebenfalls geheim hält.”

    Abschließend bekräftigte Hack, dass Unternehmen bei Verhandlungen über Ransomware immer in der Defensive sein werden. Dennoch gibt es Ansätze, um den Schaden des Angriffs zu mindern. “Je nachdem, welches Ziel Sie bei der Verhandlung verfolgen – wollen Sie Zeit schinden, indem Sie Ihre Backups wiederherstellen, oder haben Sie beschlossen, dass der einzige Ausweg darin besteht, zu zahlen -, können Sie eine andere Strategie anwenden.

    Er fügte hinzu, dass es wichtig ist, diesen Rat für Unternehmen bereitzustellen, denn leider “wird Ransomware nirgendwo hingehen, sie ist ein viel zu wertvolles Geschäft.”

    Einige Teile dieses Artikels stammen aus:
    www.infosecurity-magazine.com