Ransomware HardBit 2.0
Versicherungsdaten helfen Hackern bei Erpressung
Foto: chingyunsong - shutterstock.com
Eine neue, sehr taktische Methode erproben die Hacker, die hinter der Ransomware „HardBit“ stecken: Die Kriminellen versuchen ihre Opfer dazu zu bringen, all ihre Versicherungsdetails preis zu geben, damit sie die Lösegeldforderung an die Vertragsabkommen anpassen können. Ihr Ziel ist es, so einen Lösegeldpreis für verschlüsselte Daten zu ermitteln, der von der Versicherungsgesellschaft übernommen wird. Die erste Version von HardBit wurde im Oktober 2022 entdeckt, eine neue Variante der Ransomware beobachtet das Sicherheitsunternehmen Varonis seit November 2022.
Obwohl die Akteure hinter HardBit drohen, die Daten ihrer Opfer zu stehlen und zu veröffentlichen, wenn sie kein Lösegeld bezahlen, gibt es von HardBit keine Data-Leak-Seite. Ebenfalls anders als bei anderen Ransomware-Gruppen ist, dass HardBit auf dem System des Opfers keine Informationen über den Lösegeldbetrag hinterlässt. Die Opfer werden lediglich darüber informiert, sich binnen 48 Stunden über eine verschlüsselte Peer-to-Peer-Nachrichten-App bei den Erpressern melden zu müssen.
Die Angreifer sagen, dass sie den genauen Versicherungsbetrag kennen müssen, um zu wissen, wie viel Lösegeld sie verlangen müssen, damit der Versicherer gezwungen ist, auf die Forderung einzugehen. Allerdings sind Unternehmen vertraglich verpflichtet, Cyberkriminellen keine Auskunft über Versicherungsdaten mitzuteilen. Wenn sie dies tun, riskieren sie nicht nur, dass der Versicherer weder das Lösegeld noch Wiederherstellungskosten übernimmt, sondern auch, ihren Vertrag zu verlieren. Deshalb bestehen die Erpresser darauf, dass ihre Opfer die Daten vertraulich weitergeben.
Lesetipp: Hackerangriff auf BR
Unternehmen mit Versicherung im Visier
Für Unternehmen, die eine Cyber-Versicherung haben, stellen die Hacker eine ausführliche Anleitung bereit und fordern sie auf, die versicherte Summe offenzulegen, um erfolgreich verhandeln zu können. Die Kriminellen lassen es so aussehen, als sei die Weitergabe der Versicherungsdaten für das Opfer von Vorteil, und als sei der Versicherer der Bösewicht, der der Widerherstellung der Daten im Wege stehe. Varonis teilt einen Screenshot einer Erpressernachricht, in der die Hacker schreiben, dass die Versicherungsgesellschaften nie im Interesse ihrer Kunden mit Ransomware-Akteuren verhandeln würden. Stattdessen würden sie die Verhandlungen scheitern lassen und die Lösegeldforderung ablehnen.
Da es das Ziel der Hacker ist, Geld zu verdienen, würden sie alles sagen und sämtliche Lügen erzählen, um ihre Opfer unter Druck zu setzen. Deshalb sollten Betroffene ihnen auf keinen Fall trauen. Cyber-Experten raten grundsätzlich davon ab, Lösegelder an Ransomware-Gruppen zu bezahlen. Auch Strafverfolgungsbehörden warnen davor, auf Forderungen von Kriminellen einzugehen, da durch die Bezahlung das Geschäftsmodell der Hacker gefördert würde.
Lesetipp: Lohnt sich eine Cyber-Versicherung?
HardBit hebelt Sicherheitsfunktionen aus
Nicht nur ihre Erpressungstaktik unterscheidet die Akteure hinter HardBit von anderen Cyberkriminellen. Auch die Art der Verschlüsselung ist anders. Doch um so weit erst einmal zu kommen, setzt die Schadsoftware verschiedene Funktionen ein, um die Sicherheitsmechanismen in IT-Systemen einzuschränken:
Löschen der Schattenkopien, die Snapshots der Daten erstellen
Aktivieren der Option „Fehler ignorieren“, damit beim Neustart keine Anzeichen für Fehler durch die Ransomware angezeigt werden
Deaktivieren der Wiederherstellungsoptionen, der Antivirus-Funktionen von Windows Defender, des Manipulationsschutzes, der Anti-Spyware-Funktionen, der Verhaltensüberwachung in Echtzeit, des Zugriffschutzes und des Scan-Schutzes
Laut Varoins ist HardBit in der Lage, etwa 86 Dienste zu beenden, um sensible Daten für eine Verschlüsselung zugänglich zu machen. Zudem schreiben die Akteure keine verschlüsselten Daten in Dateikopien und löschen die Originale, so wie es viele andere Cyber-Erpresser tun. Stattdessen öffnet HardBit 2.0 die Dateien und überschreibt ihren Inhalt mit verschlüsselten Daten. Dadurch funktioniert die Verschlüsselung schneller und es wird für die Opfer schwieriger, die Originaldateien wiederherzustellen.