Neue Erpressungstaktik

BlackCat erhöht den Druck auf Opfer

Die Ransomware-Gruppe BlackCat eskaliert ihre Erpressungsmethode: Neben der Leak-Seite im Darknet macht sie Daten ihrer Opfer auch öffentlich zugänglich.
Von 
CSO | 17. Juni 2022 11:22 Uhr
Ein Hotel in den USA ist das erste Unternehmen, welches BlackCat mit ihrer neuen Methode erpresst und unter Druck setzt.
Ein Hotel in den USA ist das erste Unternehmen, welches BlackCat mit ihrer neuen Methode erpresst und unter Druck setzt.
Foto: alphaspirit.it - shutterstock.com

Auf keinen Fall Lösegelder bezahlen! Diesen Appell richten Sicherheitsexperten, aber auch Strafverfolgungsbehörden und das Bundesamt für Sicherheit in der Informationstechnik (BSI) seit Jahren an Unternehmen, die einen Ransomware-Vorfall erleben. Kriminelle Geschäftsmodelle sollen durch das Bezahlen von Lösegeldern an Hacker nicht weiter gefördert werden. Zudem gibt es für die Opfer keine Garantie, dass ihre Daten nach Zahlung wieder entschlüsselt werden.

Davon wissen auch die Cyberkriminellen und suchen nach Möglichkeiten, ihre Opfer noch mehr unter Druck zu setzen.

Lesetipp: 42 Prozent der deutschen Unternehmen zahlen Lösegeld

Neue Erpressungstaktik von BlackCat

In diesem Jahr ist die Ransomware der Hackergruppe BlackCat besonders gefürchtet. Wie die meisten kriminellen Gruppen führt auch sie eine Leak-Website, auf der die Akteure nach und nach gestohlene Daten veröffentlichen. In einigen Fällen hat BlackCat sogar E-Mails an Kunden und Mitarbeiter ihrer Opfer gesendet, um sie darüber zu informieren, dass ihre Daten gestohlen wurden.

Dadurch wollen die Hacker ihre Opfer provozieren und verunsichern, damit diese das Lösegeld bezahlen.

Wie Bleeping Computer berichtet, hat sich BlackCat im Laufe ihres jüngsten Angriffs ein weiteres Druckmittel einfallen lassen. Die Gruppe, die auch als ALPHV bekannt ist, veröffentlichte auf ihrer Leak-Website angeblich erbeutete Daten eines Hotels in Oregon, USA. Sie behauptet, 112 GB Daten von 1.534 Menschen, gestohlen zu haben, darunter besonders sensible wie die Sozialversicherungsnummern von Mitarbeitern.

Doch bei der Veröffentlichung eines Teils der Daten auf der Leak-Website blieb es nicht: Die Ransomware-Gruppe erstellte eine weitere Seite, auf der Mitarbeiter und Kunden überprüfen können, ob ihre Daten von dem Angriff auf das Hotel betroffen sind.

Screenshot der Such-Website für die Mitarbeiter und Gäste des von BlackCat attackierten Hotels.
Screenshot der Such-Website für die Mitarbeiter und Gäste des von BlackCat attackierten Hotels.
Foto: urlscan GmbH

Was es für die Opfer, deren Daten auf der Webseite veröffentlicht wurden, noch schlimmer macht: Die Such-Seite ist nicht im Darknet gehostet, sondern im öffentlichen Web. Das bedeutet, dass sie über Suchmaschinen auffindbar ist – und somit auch die teilweise sehr sensiblen Daten.

Brett Callow, Threat Analyst bei Emsisoft, hat diese neue Taktik von BlackCat entdeckt. "ALPHV hofft mit dieser Taktik ihre Angriffe monetarisieren zu können", sagt der Sicherheitsexperte gegenüber Bleeping Computer. Werden Informationen über Kunden und Mitarbeiter auf diese Weise veröffentlicht, würden Unternehmen eher dazu neigen, Lösegelder zu bezahlen. Außerdem würden sie durch die Bezahlung verhindern wollen, von Sammelklagen der Opfer getroffen zu werden.

"Obwohl BlackCat einen innovativen Ansatz nutzt, bleibt abzuwarten, ob die Strategie erfolgreich sein wird. und das wird natürlich bestimmen, ob die Taktik gängiger wird", sagt Callow.

Lesetipp: So arbeiten Ransomware-Erpresser

Melanie Staudacher ist Editor bei CSO. Ihr Schwerpunkt ist IT-Security.