Ein Ransomware-Betreiber hat für eines seiner Opfer eine gefälschte Website erstellt und diese verwendet, um geheime Inhalte zu veröffentlichen, die bei einem Ransomware-Angriff gestohlen wurden (öffnet sich in einem neuen Tab).
Der Ansatz ist ein Novum und wird von einigen Sicherheitsforschern als eine Möglichkeit angesehen, die Klienten der Opfer zu bewaffnen.
Bedrohungsakteure namens ALPHV (auch bekannt als BlackCat) starteten kürzlich einen erfolgreichen Ransomware-Angriff auf ein Finanzdienstleistungsunternehmen und erbeuteten drei und fünf GB an geheimen Dokumenten, darunter Personalnotizen, Zahlungsformulare, Mitarbeiterdaten, Vermögenswerte und Ausgaben sowie Finanzdaten Mitarbeiter, Scannen von Reisepässen usw.
Typisierte Domänen
Die Drohungen, die Daten der Öffentlichkeit zugänglich zu machen, funktionierten offenbar nicht bei dem Opferunternehmen, das sich offensichtlich dazu entschloss, die Lösegeldforderung nicht zu zahlen.
Allerdings geben Ransomware-Betreiber häufig gestohlene Daten ins Dark Web weiter, wo die meisten davon für andere Kriminelle und Sicherheitsforscher kostenlos sind. Dieses Mal hat ALPHV eine Website auf einer Tippfehler-Domain erstellt, die praktisch genauso aussieht und sich anfühlt wie die legitime Website des Opfers.
Im Gespräch mit BleepingComputer sagte Emsisoft-Bedrohungsanalyst Brett Callow, dass das Herausfiltrieren von Daten über eine Tippfehler-Domain ein noch schädlicherer Ansatz sein könnte: „Ich wäre nicht im Geringsten überrascht, wenn Alphv versucht hätte, Kunden mit dem Hinweis auf diese Website mit Business-Services auszurüsten.“ sagte Brett Callow.
Wir müssen abwarten und sehen, welche Ergebnisse dieser Ansatz bringen wird, aber wir können mit Sicherheit davon ausgehen, dass wir im Erfolgsfall deutlich mehr Websites mit Tippfehlern sehen werden, auf denen vertrauliche Unternehmensdaten preisgegeben werden.
Ransomware ist eine sich ständig weiterentwickelnde Bedrohung. Zunächst verschlüsselten Angreifer einfach jede einzelne Datei auf den Zielgeräten und verlangten die Zahlung in Bitcoins.
Als Unternehmen damit begannen, Sicherungskopien einzubinden, begannen Kriminelle damit, vertrauliche Daten zu stehlen und drohten, sie online preiszugeben. In einigen Fällen folgt auf diesen Angriff auch ein DDoS-Angriff (Distributed Denial of Service), der das Front-End stört, beispielsweise durch Einschüchterung und Überredung per Telefon und E-Mail.
Über: BleepingComputer (öffnet in einem neuen Tab)