Ransomware-Gangs bauen ihre Erpressungsstrategien weiter aus

Die Macher von “Maze” teilen ihre Public-Shaming-Website mit anderen Gangs. Die “REvil”-Gang verschachert derweil kopierte (Promi-)Daten an den Meistbietenden.

 

Teamwork und Versteigerungen: Ransomware-Gangs verbessern Erpressungsstrategien

Bereits seit Ende 2019 verfolgen “erfolgreiche” Ransomware-Gangs wie etwa die Macher von Maze, Sodinokibi aka REvil, DoppelPaymer oder neuerdings auch Ragnar Locker eine modifizierte Erpressungsstrategie: Sie setzen nicht länger nur auf das Verschlüsseln von Daten, sondern kopieren diese zusätzlich auch von den infizierten Systemen. Um den Druck auf ihre Opfer zu erhöhen, drohen sie anschließend mit der Veröffentlichung sensibler Dokumente in Untergrundforen oder auf eigens dafür eingerichteten “Public Shaming”-Websites.

Das Abgreifen von Daten beschert den Gangs darüber hinaus auch noch die Möglichkeit, Firmenkunden direkt zu kontaktieren – so geschehen kürzlich bei einem Ransomware-Angriff auf die Technischen Werke Ludwigshafen. Schlagen alle Erpressungsversuche fehl (oder auch nicht), bleibt der Verkauf der Daten in Untergrundforen und/oder der Missbrauch für Phishing-Angriffe mit dem Ziel, die eigene Malware weiterzuverbreiten.

Einige Gangs bauen vorhandene Public-Shaming- und Verkaufsstrategien derzeit weiter aus: Sicherheitsforscher berichten, dass die “Maze”-Gang ihre Public-Shaming-Website für weitere Gruppen geöffnet hat, die dort ebenfalls ihre kopierte Daten veröffentlichen. Und auch bei der Erpresser-Crew um Sodinokibi/REvil gibt es Neuigkeiten: Sie versteigert sensible Daten, darunter wohl auch Daten von Prominenten, im Rahmen von Online-Auktionen auf ihrer eigenen Website.

 

Über eine Zusammenarbeit zwischen der “Maze”-und der “LockBit”-Gang, die ein Ransomware-as-a-Service-Modell verfolgt, berichtet Bleeping Computer. Maze veröffentlichte demnach von LockBit kopierte Daten auf der Gang-eigenen Leak-Website. Die Gruppe bestätigte die Zusammenarbeit gegenüber Bleeping Computer und kündigte darüber hinaus an, die eigene Plattform sowie die im Ransomware-“Business” gesammelten Erfahrungen auch noch mit einer weiteren Gruppe teilen zu wollen. Man betrachte andere Gangs nicht als Konkurrenten, sondern als Partner.

Die Frage, ob Maze von der Zusammenarbeit auch finanziell profitiere, etwa in Gestalt eines Anteils an gezahlten Lösegeldern, wollte die Gang nicht beantworten.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.