Ransomware-Autoren veröffentlichen Daten von Opfern, die das Lösegeld nicht zahlen
Die Infektion mit einer Ransomware kann für ein Unternehmen oder eine Regierungsorganisation sehr zerstörerisch sein. Die Entwickler von Cyberkriminellen versuchen jedoch, die Situation für die betroffenen Benutzer noch schlimmer zu machen. Sobald eine Ransomware die wichtigen Dateien und Daten der Benutzer verschlüsselt, die in ihren Systemen gespeichert sind, werden alle Daten als Geiseln gehalten, bis die Opfer den Angreifern eine Summe Lösegeld zahlen, um sie freizuschalten. Jetzt drohen sie aber auch, die wichtigen Daten online preiszugeben, wenn das Lösegeld nicht rechtzeitig ausgezahlt wird.
Im Dezember 2019 drohten Entwickler der Sodinokibi-Ransomware, bei einem Treffen der russischen Hacker-Gruppe im Untergrund solche Schritte zu unternehmen. Der Beitrag wurde von dem Sicherheitsforscher Damian mit der Community geteilt, der entdeckte, dass UNKN, die öffentlich zugängliche Repräsentation der Ransomware, die Drohung veröffentlicht hatte. Eine solche Taktik gab es bereits bei Maze, einer anderen Ransomware-Variante, die 700 MB an Daten veröffentlichte, die Allied Universal gestohlen wurden. Zu der Zeit wurde angenommen, dass dies nur 10% der Daten sind, die von Hackern gestohlen wurden, während gleichzeitig Ransomware-Operationen durchgeführt wurden. Die Daten wurden als Antwort auf die vom Opfer nicht geleistete Zahlung freigegeben. Sodinokibi ist nun gefolgt.
Wir alle nutzen die Verschlüsselung, um unsere Dateien und Kommunikation privat zu halten, aber die gleiche Taktik macht Ransomware möglich. Kryptoviren können auf Einzelpersonen abzielen, aber die Akteure, die hinter diesen Vorgängen stehen, haben zunehmend Unternehmen mit tieferen Taschen als der durchschnittliche Computerbenutzer ins Visier genommen. Beim Infizieren eines PCs verschlüsselt Ransomware wichtige Dateien und löscht die Originale. Um die Dateien abzurufen, muss das Opfer ein Lösegeld (normalerweise in Bitcoin) im Austausch für den Entschlüsselungsschlüssel zahlen.
UNKN hat in der Vergangenheit damit verbundene Risiken eingegangen, nämlich für Travelex und CDH Investments. Die Bedrohung wurde jedoch nicht ausgeübt. Dies scheint sich nun geändert zu haben, als einer der Vertreter der Ransomware mitteilte, dass Daten, die zu Artech gehören, der Öffentlichkeit zugänglich gemacht wurden. Die Ankündigung enthielt Links zu ca. 337 MB Daten des Unternehmens, das sich als IT-Personalunternehmen bezeichnet.
Maze hat eine neue gefährliche Höhe für andere Autoren von Dateicodierungsinfektionen festgelegt, der sie folgen sollen. Anfang Januar tauchten Berichte auf, wonach die Urheber der Ransomware 14 GB Daten von Southwire, einem Kabelhersteller und offensichtliches Opfer von Maze, verloren hatten. Angeblich wurden 120 GB Daten gestohlen, und die Hintermänner von Maze haben anfangs 2 GB der Daten verloren, genau wie zuvor bei der Stadt Pensacola. Die Hacker forderten über 6 Millionen USD in Bitcoin, um die verschlüsselten Dateien zu entschlüsseln. Diejenigen, die hinter Maze stehen, sagten in einem Post:
„Aber jetzt ist unsere Website wieder da, aber nicht nur das. Aufgrund von Southwire-Aktionen werden wir nun damit beginnen, ihre privaten Informationen mit Ihnen zu teilen, dies sind nur 10% ihrer Informationen, und wir werden die nächsten 10% der Informationen jede Woche veröffentlichen, bis sie einer Verhandlung zustimmen. Verwenden Sie diese Informationen auf jede schändliche Art und Weise, die Sie wollen. “