9 Tipps für Ransomware-Notfälle

So verhandeln Sie mit Cybergangstern

Sie sehen nach einem Ransomware-Befall keine andere Möglichkeit, als die Angreifer zu bezahlen, um wichtige Daten zurückzubekommen? Diese Tipps können Sie weiterbringen.
Von  und
CSO | 29. November 2021 05:06 Uhr
Von Drohgebärden sollten Sie bei Verhandlungen um ein Ransomware-Lösegeld Abstand nehmen.
Von Drohgebärden sollten Sie bei Verhandlungen um ein Ransomware-Lösegeld Abstand nehmen.
Foto: Atstock Productions - shutterstock.com

Wie kann man Unternehmen dabei zu unterstützen, die Auswirkungen eines Angriffs möglichst gering zu halten? Pepijin Hack, Cybersecurity Analyst, und Zong-Yu Wu, Threat Analyst, beide für Fox-IT (Teil der NCC Group) tätig, haben die Mechanismen von Ransomware-Verhandlungen intensiv untersucht. Die Ergebnisse präsentierten die Security-Spezialisten auf der Black Hat Europe 2021, inzwischen sind sie auch im Rahmen eines ausführlichen Blogbeitrags auf den Seiten der NCC Group veröffentlicht. Für ihre Analyse zogen die Experten Daten von über 700 Angreifer-Opfer-Verhandlungen zwischen 2019 und 2020 heran. Ihre wissenschaftliche Untersuchung dreht sich um drei wesentliche Fragen:

  1. Wie nutzen Angreifer wirtschaftliche Modelle, um ihre Gewinne zu maximieren?

  2. Was sagt das über die Position der Opfer während der Verhandlungsphase aus?

  3. Welche Strategien können Ransomware-Opfer nutzen, um das "Spiel" fairer zu gestalten?

"Die empirische Untersuchung legt nahe, dass sich das Ransomware-Ökosystem zu einem ausgeklügelten Geschäft entwickelt hat", schreiben die Forscher. "Jede Ransomware-Bande hat ihre eigenen Verhandlungs- und Preisstrategien entwickelt, um ihren Profit zu maximieren."

Wie Cyberkriminelle Ransomware-Opfer auswählen

Die gesammelten Datensätze fokussierten hauptsächlich auf zwei verschiedene Ransomware-Stämme. Der erste umfasste 681 Verhandlungen zwischen Opfern und Ransomware-Gruppen aus dem Jahr 2019 - als die Angreifer noch relativ unerfahren waren und sich die Lösegeldforderungen auf eher niedrigem Niveau bewegten. Der zweite Datensatz, bestehend aus 30 Verhandlungen, wurde Ende 2020 und Anfang 2021 erhoben - zu einem Zeitpunkt, als Ransomware-Angriffe bereits eine der größten Bedrohungen für Unternehmen weltweit waren. Die Analyse ergab, dass der Reifegrad der Ransomware-Operationen zugenommen hat: Die kriminellen Hackergruppen berechnen die Kosten eines Angriffs und orientieren ihre Lösegeldstrategien an verschiedenen Faktoren. Dazu gehören zum Beispiel:

  • die Anzahl der infizierten Geräte/Server,

  • die Anzahl der Mitarbeiter,

  • die (geschätzte) Höhe des Unternehmensumsatzes und

  • die potenziellen Auswirkungen einer medienwirksamen Ransomware-Attacke.

So können Angreifer - bevor sie überhaupt in Verhandlungen eingetreten sind - ziemlich gut einschätzen, wie viel das betroffene Unternehmen ungefähr zahlen wird. Kommt es dann zur Verhandlung, wird die Opferorganisation sofort in die Defensive gedrängt. "Es ist ein manipuliertes Spiel, bei dem der Angreifer immer gewinnt. Dieser Umstand trägt letztlich dazu bei, dass das Ransomware-Ökosystem wächst und gedeiht", ist im NCC-Blogbeitrag zu lesen.

Eine weitere interessante Beobachtung der Untersuchung: Kleinere Unternehmen bezahlen im Allgemeinen mehr Lösegeld - bezogen auf ihren Jahresumsatz. Die höchste Lösegeldsumme (innerhalb des Datensatzes) - 14 Millionen Dollar - wurde von einem Fortune-500-Unternehmen bezahlt. "Es ist also verständlich, dass finanziell motivierte Kriminelle sich wertvolle Ziele aussuchen, um von einigen wenigen, großen Lösegeldsummen zu profitieren, statt viele kleine Unternehmen anzugreifen. Das hat dazu geführt, dass einige Ransomware-Gruppen ausschließlich große und profitable Unternehmen ins Visier nehmen", schreiben die Experten.

4 Schritte vor der Ransomware-Verhandlung

Die Studie der Cybersecurity-Spezialisten zeigt Best Practices und Ansätze auf, die dazu beitragen können, das Verhandlungsgleichgewicht (zumindest etwas) wiederherzustellen. Um sich als Opfer einer Ransomware-Attacke in eine bessere Verhandlungsposition zu bringen, sollten Unternehmen:

  1. ihren Mitarbeitern beibringen, keine Lösegeldforderungen zu öffnen oder auf den darin enthaltenen Link zu klicken. Das initiiert in der Regel einen Countdown, bei dessen Ablauf die Zahlung fällig wird. Die Mitteilung nicht zu öffnen, verschafft Zeit um zu überprüfen, welche Teile der Infrastruktur betroffen sind, welche Folgen der Angriff hat und welche Kosten dafür anfallen werden.

  2. ihre Verhandlungsziele festlegen und dabei Backups sowie Best- und Worst-Case-Zahlungsszenarien berücksichtigen.

  3. klare interne und externe Kommunikationswege unter Einbeziehung des Krisenmanagements, des Vorstands, der Rechtsabteilung und der Kommunikationsabteilung festlegen.

  4. sich über die Angreifer informieren, um deren Taktiken kennenzulernen und herauszufinden, ob ein Decryption Key verfügbar ist.

5 Ansätze für die Ransomware-Verhandlung

So vorbereitet, kommen Unternehmen in eine bessere Verhandlungsposition bei einem Ransomware-Angriff - wenn sie sich dazu entschließen, diese aufzunehmen. Um dabei den Schaden möglichst gering zu halten, sollten Betroffene die folgenden fünf Verhandlungsansätze in Erwägung ziehen:

  1. Bleiben Sie in Gesprächen ruhig, respektvoll und professionell.

  2. Bitten Sie die Angreifer um mehr Zeit, um alle Recovery-Möglichkeiten ausloten zu können. Eine gute Strategie ist zum Beispiel der Versuch, die Erpresser mit dem Verweis hinzuhalten, dass es Zeit braucht, die Lösegeldsumme in der gewünschten Kryptowährung zu beschaffen.

  3. Statt um Aufschub zu bitten, können Sie auch anbieten, ein wesentlich kleineres Lösegeld zu bezahlen, als von den Kriminellen verlangt. Letztere sind nämlich dafür bekannt, sich auf großzügige "Rabatte" einzulassen, um einen möglichst schnellen Gewinn zu erzielen - und das nächste Ziel heimzusuchen.

  4. Eine der wirksamsten Strategien ist es, die Angreifer davon zu überzeugen, dass Sie finanziell nicht in der Lage sind, den ursprünglich geforderten Betrag zu bezahlen. Das gilt auch für Großunternehmen, denn große Umsätze oder Gewinne bedeuten schließlich nicht automatisch, dass man kontinuierlich Millionenbeträge in Kryptowährungen für den Fall der Fälle parat hat.

  5. Sie sollten unbedingt vermeiden, die Kriminellen wissen zu lassen, dass Sie über eine Cyberversicherungspolice verfügen. Die entsprechenden Dokumente sollten Sie deshalb auch nicht auf erreichbaren Servern abspeichern. Wissen die Angreifer, dass eine Cyberversicherung vorhanden ist, zeigen sie sich im Regelfall deutlich weniger flexibel, weil sie wissen, dass viele Policen einen Großteil der entstandenen Kosten abdecken.

Die Studie gibt darüber hinaus ergänzende, praktische Ratschläge für den Verhandlungsprozess nach einem Ransomware-Angriff:

  • Bitten Sie um die Entschlüsselung einer Datei zu Demonstrationszwecken.

  • Fragen Sie im Zahlungsfall einen Nachweis darüber an, dass die betreffenden Daten gelöscht wurden.

  • Bitten Sie die Angreifer darum, zu erklären, wie sie in die Systeme eindringen konnten.

Abschließend müssen sich von Ransomware betroffene Unternehmen mit dem Gedanken anfreunden, dass ihre Daten - trotz erfolgter Lösegeldzahlung - im Netz geleakt oder in dunklen Kanälen weiterverkauft werden.

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Michael Hill schreibt für unsere US-Schwesterpublikation CSO Online.
Florian Maier beschäftigt sich mit vielen Themen rund um Technologie und Management. Daneben betätigt er sich auch in sozialen Netzen.