Triple-Extortion-Angriffe: Warum Cyber-Attacken mit kombinierten Angriffsverfahren so gefährlich sind
Unternehmen sehen sich mit einer neuen Gefahr im Bereich IT-Sicherheit konfrontiert. Kriminelle setzen bei Angriffen parallel drei Methoden ein. Neben einer Erpressersoftware (Ransomware) sind dies Distributed-Denial-of-Service-Angriffe und der Diebstahl von Geschäftsdaten. Doch die Chancen sind gut, solche Triple-Extortion-Attacken abzuwehren.
Das Geschäft von Cyberkriminellen läuft bestens. Nach Schätzungen der amerikanischen Marktforschungsfirma Cyber Ventures wird der Schaden durch Cyberattacken bis 2025 jährlich um 15 Prozent steigen, auf weltweit mehr als 10 Billionen Dollar. Ein wachsender Teil dieser Summe entfällt auf Lösegeldzahlungen. Damit wollen betroffene Unternehmen beispielsweise erreichen, dass Angreifer Daten wieder freigeben, die sie mit einer Ransomware verschlüsselt haben oder einen Distributed-Denial-of-Service-Angriff (DDoS) stoppen.
Daher ist es nicht verwunderlich, dass die Cybercrime-Szene nach weiteren Möglichkeiten sucht, um den „Umsatz“ zu steigern. Ein Trend ist, die Wirksamkeit von Attacken zu erhöhen, indem bei ihnen drei Technologien gebündelt werden, Stichwort „Triple Extortion“.
Was Triple Extortion eigentlich ist
Wie der Name bereits andeutet, kommen bei Triple Extortion drei Arten von Angriffen zum Einsatz:
Eine Attacke mit Erpressersoftware (Ransomware) : Sie verschlüsselt Daten auf Servern und Clientsystemen. Dadurch haben die Mitarbeiter von Unternehmen und öffentlichen Einrichtungen keinen Zugang mehr zu Anwendungen und Datenbeständen. Erst nach Zahlung eines Lösegelds erhalten sie vom Täter einen Entschlüsselungscode – in etlichen Fällen aber auch nicht.
: Sie verschlüsselt Daten auf Servern und Clientsystemen. Dadurch haben die Mitarbeiter von Unternehmen und öffentlichen Einrichtungen keinen Zugang mehr zu Anwendungen und Datenbeständen. Erst nach Zahlung eines Lösegelds erhalten sie vom Täter einen Entschlüsselungscode – in etlichen Fällen aber auch nicht. Das Ausschleusen von Geschäftsinformationen , die auf Systemen im Unternehmensnetz gespeichert sind. Die Angreifer drohen damit, diese Daten zu veröffentlichen oder zu verkaufen. Gelangen sensible Informationen wie interne Geschäftsdaten oder Kundeninformationen an die Öffentlichkeit, kann dies die Wettbewerbsfähigkeit beeinträchtigen oder Datenschutzbehörden auf den Plan rufen.
, die auf Systemen im Unternehmensnetz gespeichert sind. Die Angreifer drohen damit, diese Daten zu veröffentlichen oder zu verkaufen. Gelangen sensible Informationen wie interne Geschäftsdaten oder Kundeninformationen an die Öffentlichkeit, kann dies die Wettbewerbsfähigkeit beeinträchtigen oder Datenschutzbehörden auf den Plan rufen. Distributed-Denial-of-Service-Angriffe (DDoS): Sie blockieren den Zugang zu IT-Systemen, Cloud-Diensten und Online-Angeboten, etwa Webshops. Dadurch kann für Unternehmen ein erheblicher Schaden entstehen, nicht nur in Form entgangener Umsätze, sondern auch durch den Vertrauensverlust bei Kunden und Partnern.
Zielgruppe: Unternehmen und öffentliche Einrichtungen
Zu den bevorzugten Zielgruppen von Triple-Extortion-Angriffen zählen nicht nur Unternehmen, sondern auch öffentliche Einrichtungen wie Behörden und Kliniken. Angreifer bevorzugen dabei Organisationen, deren IT-Sicherheitslösungen, IT-Security-Fachleute und Mitarbeiter unzureichend auf solche Attacken vorbereitet sind. Das erhöht die Erfolgschancen der Aktionen. Ein drittes Auswahlkriterium ist, dass die Opfer in der Lage sind, ein Lösegeld zu bezahlen. In Deutschland häuften sich 2021 vor allem Angriffe auf Behörden, Kommunen, Kliniken und soziale Einrichtungen. So konnten im September 2021 die Stadtwerke Wismar wegen eines Ransomware-Angriffs keine Rechnungen mehr erstellen. Im Oktober 2021 war in der Stadt Witten (Nordrhein-Westfalen) zeitweilig ein Großteil der Bürgerservices nicht verfügbar.
Laut dem Netscout Threat Intelligence Report für das erste Halbjahr 2021 haben sich Cybercrime-Gruppen wie Maze, Sodinokibi und DoppelPaymer darauf spezialisiert, Ransomware-Attacken mit dem Ausschleusen von Unternehmensinformationen zu kombinieren (Double Extortion). Das hat den Vorteil, dass ein Opfer auch dann zur Zahlung genötigt werden kann, wenn es nach einem Ransomware-Angriff mithilfe von Backup-Dateien seine IT-Systeme wieder arbeitsfähig macht.
Die hohe Kunst der Erpressung: Kombination mit DDoS
Eine deutlich höhere Durchschlagskraft gewinnen Double-Extortion-Angriffe, wenn sie um eine DDoS-Komponente ergänzt werden. Laut Analysen von Netscout stieg im ersten Halbjahr 2021 die Zahl von DDoS-Attacken weltweit um elf Prozent auf rund 5,4 Millionen – ein neuer Weltrekord. Die größte Bandbreite, die dabei eingesetzt wurde, betrug 1,5 Terabit pro Sekunde. Sie kam im Juni 2021 bei einer Aktion gegen einen Internet-Serviceprovider in Deutschland zum Einsatz.
Mittlerweile werden vor allem Ransomware-Versionen wie Suncrypt, Darkside und Avaddon in Verbindung mit dem Diebstahl von Daten und DDoS verwendet. Dadurch erhöht sich der Druck auf die Zielunternehmen in mehrfacher Hinsicht. Kommt DDoS mit ins Spiel, unterstreicht dies, dass es der Angreifer ernst meint und über das technische Know-how verfügt, um einem Unternehmen ernsthaften Schaden zuzufügen. Außerdem erhöht eine DDoS-Komponente den Stress für die IT-Abteilung der betroffenen Organisation. Denn diese muss gewissermaßen an drei Fronten gleichzeitig kämpfen. Ein Großteil der IT-Sicherheitsfachleute von Unternehmen und öffentlichen Einrichtungen ist damit überfordert.
Arbeitsteilung wie in der Wirtschaft
Ein weiterer Grund, weshalb die kombinierten Cyber-Angriffe so gefährlich sind, ist die Professionalisierung der Cybercrime-Szene. So ist es heute nicht mehr üblich, dass ein Hacker alle Aufgaben übernimmt, wie zum Beispiel das Programmieren der Schadsoftware, etwa einer Ransomware, deren Verteilung auf die IT-Systeme der Opfer und das Eintreiben des Lösegelds. Wie in seriösen Wirtschaftszweigen hat sich eine Arbeitsteilung entwickelt. Entwickler von Malware arbeiten mit Experten zusammen, welche die Infrastruktur betreiben, über die eine Schadsoftware verteilt wird. Das erfolgt beispielsweise über Ransomware-as-a-Service-Plattformen, die wie ein Cloud-Dienst funktionieren. Der „Serviceprovider“ erhält einen Anteil am Lösegeld.
Nach demselben Schema funktioniert die Zusammenarbeit mit Fachleuten für Spam-E-Mails. Sie erstellen Nachrichten, die oft perfekt auf die Zielgruppe zugeschnitten sind. Das sind beispielsweise bestimmte Mitarbeiter oder Abteilungen in einem Unternehmen oder einer öffentlichen Einrichtung. Mithilfe von Spam-Nachrichten platzieren die Angreifer Schadsoftware auf IT-Systemen. Das erfolgt beispielsweise durch Word- und Excel-Dokumente mit eingebetteter Malware oder Internet-Links, die zu kriminellen Web-Seiten führen. Um die Wirksamkeit zu erhöhen, führen die Cyber-Kriminellen teilweise Aufklärungsaktionen durch. Sie ermitteln beispielsweise mithilfe von Social-Media-Plattformen und beruflichen Netzwerken wie Xing und LinkedIn die Namen und die Position von Beschäftigten. In deren Namen versenden sie dann Spam-Nachrichten mit Malware.
Durch diese Arbeitsteilung sind Cybercrime-Organisationen in der Lage, ihre Expertise auszubauen und immer wirkungsvollere Angriffe durchzuführen.
Gegenmaßnahmen ergreifen
Doch Unternehmen und Organisationen stehen solchen Angriffen nicht schutzlos gegenüber. Wichtig ist jedoch, dass sie zunächst ihre „Hausaufgaben“ machen:
Daten-Backups erstellen und Sicherheitslücken schließen: So ist es dringend geboten, regelmäßig Datensicherungen zu erstellen und sicherzustellen, dass diese nicht bereits mit einer Schadsoftware oder Ransomware infiziert sind. Außerdem ist es erforderlich, zeitnah Sicherheits-Patches auf IT-Systemen einzuspielen. Damit im Ernstfall das Wiedereinspielen von Daten aus Sicherungen klappt, sollte dies zudem regelmäßig getestet werden.
Das Unternehmensnetz absichern: Das lässt sich mithilfe von Lösungen für das Netzwerk-Monitoring und Cybersecurity-Software erreichen. Sie erkennen Schadsoftware sowie die Aktivitäten von Endgeräten und Netzwerkkomponenten, die auf einen Angriff hindeuten (Indicators of Compromise, IoCs). Wichtig ist, dass auch der Fernzugriff auf das Netzwerk durch Mitarbeiter im Homeoffice oder von unterwegs aus in das Sicherheitskonzept einbezogen wird.
Cyber-Threat-Intelligence-Lösungen (CTI) einsetzen: CTI-Plattformen ermitteln, welche IT-Security-Risiken auf den Plan treten und welche neuen Taktiken und Technologien Cyberkriminelle einsetzen. Dadurch können Nutzer proaktiv Gegenmaßnahmen ergreifen, etwa wenn Indizien auf eine bevorstehende Ransomware-Attacke hindeuten.
Vorkehrungen gegen DDoS-Angriffe treffen: Einen effektiven Schutz vor groß angelegten DDoS-Attacken, bei denen Bandbreiten von mehreren Hundert Megabit pro Sekunde verwendet werden, bieten cloudbasierte DDoS-Abwehrservices. Ergänzend dazu können Unternehmen und Organisationen Appliances einsetzen. Diese Systeme werden am Rand des Netzwerks platziert und bauen eine erste Verteidigungslinie gegen DDoS-Angriffe auf. Ergänzend dazu empfiehlt sich jedoch die Option, diese Appliances um eine DDoS-Abwehr aus der Cloud zu ergänzen. Denn es ist davon auszugehen, dass die Zahl und „Wucht“ von DDoS-Angriffen weiter zunehmen wird.
Die Mitarbeiter sensibilisieren und schulen: Beschäftige, denen die Risiken durch Cyberangriffe bewusst sind und die umsichtig agieren, sind ein zentrales Element jeder IT-Sicherheitsstrategie. Daher ist es notwendig, Mitarbeiter regelmäßig zu schulen und auf Gefahren hinzuweisen, etwa durch Spam- und Phishing-E-Mails oder den Einsatz privater Endgeräte.
Fazit
Mit Triple Extortion haben Cyberangriffe eine neue Dimension erreicht. Unternehmen, aber auch öffentliche Einrichtungen sollten unverzüglich handeln und wirkungsvolle Schutzmaßnahmen gegen solche Attacken ergreifen. Denn eines ist klar: Wer glaubt, das Problem durch das Zahlen von Lösegeld zu beseitigen, liegt falsch. Im Gegenteil: Solche Organisationen werden immer wieder von Kriminellen heimgesucht. Das ist nicht erst seit dem digitalen Zeitalter so.
Aktuelle Nachrichten und Kommentare
Lücke in der Cybersicherheit: Böhmermann zeigt Verbindungen zu russischen Geheimdiensten auf
In der aktuellen Ausgabe des „ZDF Magazin Royale“ widmete sich Jan Böhmermann der Cybersicherheit in Deutschland. Er zeigte auf, dass es über einen Verein, in dem viele große Unternehmen Mitglieder sind, Verbindungen zu russischen Geheimdiensten gibt. Mitgründer des Vereins war der aktuelle Präsident des Bundesamts für Sicherheit in der Informationstechnik.
Cyber-Bedrohungen
Cyber-Angriffe sind schon lange keine Fiktion mehr, sondern bittere Realität - und damit ganz oben auf der Liste krimineller und terroristischer Bedrohungen.
Im Visier der Täter: Länder mit einer starken Wirtschaft und einer liberalen Demokratie. Deutschland wird deshalb besonders häufig attackiert.
Allein im Januar und Februar 2017 gab es über 280.000 Cyber-Attacken gegen die Bundeswehr.
Unterschiedliche Motive und Bedrohungen
Doch was treibt die Täter an? Auf der einen Seite ist Cyber-Kriminalität ein lukratives Geschäft, mit dem die Täter heute teilweise mehr Geld machen als im internationalen Drogenhandel. Andererseits sind viele Cyber-Angriffe politisch motiviert.
Und das Spektrum der Bedrohungen ist groß: Es werden persönliche Daten gestohlen, Unternehmen ausspioniert, wichtige Infrastrukturen geschädigt oder Kommunikationskanäle von Politikern und Regierungen manipuliert.
Wenn die Identität im Netz geraubt wird
Vergrößern Ziviler Ansprechpartner: das Bundesamt für Sicherheit in der Informationstechnik. Quelle Bundesamt für Sicherheit in der Informationstechnik Schließen
Die zunehmende Beliebtheit von Online-Diensten lockt auch viele Kriminelle an. Sie versuchen über gefälschte E-Mails und Internetseiten an vertrauliche Daten wie Passwörter, Zugangsdaten oder Kreditkartennummern zu kommen.
Diese Versuche werden auch als Phising-Versuche bezeichnet. Die so erbeuteten Passwörter, Adressen oder Geburtsdaten werden entweder von den Kriminellen selbst genutzt oder für viel Geld auf dem Schwarzmarkt verkauft.
Cyber- Kriminalität kennt keine Grenzen
Diese Form der Cyber-Kriminalität ist ein weltweites Problem, das weder Landesgrenzen noch verschlossene Türen kennt. Überall dort wo Menschen Computer und Smartphones benutzen – in Firmen, Behörden, Universitäten, zu Hause und unterwegs – können Angriffe drohen. Und weil die Täter nahezu von jedem Ort der Welt aus agieren können sind die Spuren nur schwer zu verfolgen.
Nicht nur die Zahl der betroffenen Computer und Smartphones steigt, sondern auch die Professionalität der Täter und die Anzahl der Schadprogramme. Nach Schätzungen des Bundesamt für Sicherheit in der Informationstechnik ( BSIBundesamt für Sicherheit in der Informationstechnik ) waren 2016 über 560 Millionen Varianten von schädlichen Programmen im Umlauf.
Wie ein besserer Schutz vor solchen Angriffen gelingen kann, erklärt das Bundesamt für Sicherheit in der Informationstechnik auf seiner Webseite „ BSIBundesamt für Sicherheit in der Informationstechnik für Bürger“.
Für Unternehmen und Institutionen bietet unter anderem die Allianz für Cyber-Sicherheit eine gute Informationsplattform.
Im Fokus von Cyber- Spionen: Politik und Wirtschaft
Nicht nur Privatpersonen sind von Attacken aus dem Cyber-Raum bedroht. Seit 2005 nehmen die Angriffe gegen Bundesbehörden, Politiker und Wirtschaftsunternehmen rasant zu. Ziel der Täter ist es, die Betroffenen auszuspionieren oder zu sabotieren.
Deutschland ist aufgrund seiner führenden Rolle in Europa und als Standort zahlreicher Technologieunternehmen insbesondere für fremde Nachrichtendienste attraktiv.
Erfolgreiche Spionageangriffe können immense finanzielle und volkswirtschaftliche Schäden nach sich ziehen, wenn beispielsweise aus Forschungseinrichtungen und Unternehmen neue Produktentwicklungen und wissenschaftliche Erkenntnisse gestohlen werden.
Ausgeklügelte und gut getarnte Schadsoftware
Vergrößern Nahezu alle Infrastrukturbereiche, wie Finanzen, Energie oder Wasserversorgung, sind heute stark von Informationstechnologie abhängig. Quelle Bundeswehr/Jane Hannemann Schließen
Die eingesetzten Schadprogramme sind mittlerweile so ausgeklügelt, dass selbst aktuelle Virenschutzprogramme nichts gegen sie ausrichten können. Und die Aufklärungsrate ist gering, weil die Angriffe gut getarnt sind. Der Urheber lässt sich fast nie ermitteln.
Deshalb arbeiten bei der Bekämpfung der Gefahren durch elektronische Angriffe national und international zahlreiche Behörden zusammen. Zur besseren Koordinierung dieser Zusammenarbeit wurde in Deutschland ein Nationales Cyber-Abwehrzentrum (Cyber-AZ) gegründet, das im April 2011 seinen Betrieb aufgenommen hat.
Lösegelderpressungen bei Doppelklick
Versorgungsdienstleister wie beispielsweise Stromanbieter, Banken, Verkehrsbetriebe oder Krankenhäuser sind immer stärker auf funktionierende Informations- und Kommunikationstechnik angewiesen – und damit auch besonders im Visier von Cyber-Terroristen.
Solche Organisationen und Einrichtungen werden deshalb auch als „kritische Infrastrukturen“ ( KRITISKritische Infrastrukturen ) bezeichnet. Kommt es zu Störungen oder Ausfällen dieser Infrastrukturen, hat das schwerwiegende Folgen für alle.
Erst im vergangenen Jahr wurde ein bis dato undenkbares Szenario Wirklichkeit: Ein Doppelklick auf einen E-Mail-Anhang löste im Februar 2016 im Lukaskrankenhaus in Neuss eine Cyber-Attacke aus. Über einen Link wurde eine infizierte Software übertragen, die sich im Computersystem ausbreiten und Daten verschlüsseln sollte Damit wollten die Täter die Klinik erpressbar machen.
Das Internet als Waffe: Cyber- Terrorismus
Vergrößern Die Bundeswehr schützt sich: 2017 wurde das Kommando Cyber-und Informationsraum in Dienst gestellt. Quelle Bundeswehr/Marcus Rott Schließen
Angriffe auf Versorgungseinrichtungen sind Angriffe auf alle. Statt Sprengstoff setzen Cyber-Terroristen das Internet als Waffe ein.
Cyber-Terrorismus wird von vielen als Bedrohung wahrgenommen. Doch was genau versteht man darunter? Die Begrifflichkeiten gehen wild durcheinander. So ist die Rede von „Cyber-Dschihad“ oder „Online-Dschihad“. Hinzu kommt, dass unter dem Begriff häufig auch ganz unterschiedliche Sachverhalte vermischt werden: etwa die Nutzung des Internets durch Terroristen zu Propagandazwecken oder eben durch Angriffe auf ITInformationstechnik -Strukturen.
Doch eines haben alle Cyber-Angriffe gemeinsam: Es geht darum sowohl der Bevölkerung als auch der Wirtschaft und Politik den größtmöglichen Schaden zuzufügen.
Cyber- Sicherheit ist eine gesamtstaatliche Aufgabe
Deutschland braucht eine zukunftsgerichtete Cyber-Sicherheitspolitik, die es ermöglicht, dass Deutschland die enormen Chancen und Potenziale der Digitalisierung voll ausschöpfen kann, aber gleichzeitig die damit verbundenen Risiken beherrschen kann.
Eine Aufgabe, die nur gemeinsam und ressortübergreifend bewältigt werden kann. Deshalb arbeiten verschiedene Ministerien und staatliche Organisationen im Kampf gegen die Cyber-Bedrohungen eng zusammen. Die „Cyber-Sicherheitsstrategie für Deutschland 2016“ schafft den strategischen Rahmen für die gemeinsamen Aktivitäten der Bundesregierung.